Gids voor online anonimiteit (door https://anonymousplanet.org/)

Gebruik op eigen risico. Beschouw deze gids niet als de definitieve waarheid voor alles, want dat is het niet.

Spoiler: Inhoudsopgave

• Inleiding:
• Inzicht in de basisprincipes van hoe sommige informatie naar jou kan leiden en hoe je sommige kunt beperken:
  • Je netwerk:
    • Je IP-adres:
    • Je DNS- en IP-verzoeken:
    • Je RFID-apparaten:
    • De Wi-Fi- en Bluetooth-apparaten om je heen:
    • Kwaadaardige/opruiende Wi-Fi-toegangspunten:
    • Je geanonimiseerde Tor/VPN-verkeer:
    • Sommige apparaten kunnen zelfs worden gevolgd als ze offline zijn:
  • Je hardware-identificatoren:
    • Je IMEI en IMSI (en bij uitbreiding, je telefoonnummer):
    • Je Wi-Fi- of Ethernet MAC-adres:
    • Je Bluetooth MAC-adres:
  • Je CPU:
  • De telemetriediensten van je besturingssystemen en apps:
  • Je slimme apparaten in het algemeen:
  • Jezelf:
    • Jouw metadata inclusief jouw Geo-Locatie:
    • Jouw Digitale Vingerafdruk, Voetafdruk en Online Gedrag:
    • Jouw aanwijzingen over je echte leven en OSINT:
    • Je gezicht, stem, biometrie en foto's:
    • Phishing en social engineering:
  • Malware, exploits en virussen:
    • Malware in uw bestanden/documenten/e-mails:
    • Malware en exploits in uw apps en diensten:
    • Kwaadaardige USB-apparaten:
    • Malware en backdoors in uw hardware-firmware en besturingssysteem:
  • Uw bestanden, documenten, afbeeldingen en video's:
    • Eigenschappen en metagegevens:
    • Watermerken:
    • Gepixeleerde of onscherpe informatie:
  • Je Cryptovaluta transacties:
  • Je Cloud back-ups/sync diensten:
  • Uw browser- en apparaatvingerafdrukken:
  • Lokale datalekken en forensisch onderzoek:
  • Slechte cryptografie:
  • Geen logging maar toch logging beleid:
  • Enkele geavanceerde gerichte technieken:
  • Enkele bonusbronnen:
  • Opmerkingen:
• Algemene voorbereidingen:
  • Het kiezen van je route:
    • Timing beperkingen:
    • Budget/Materiaal beperkingen:
    • Vaardigheden:
    • Tegenstanders (bedreigingen):
  • Stappen voor alle routes:
    • Zorg voor een anoniem telefoonnummer:
    • Zorg voor een USB-sleutel:
    • Zoek een aantal veilige plekken met fatsoenlijke openbare Wi-Fi:
  • De TAILS-route:
    • Aanhoudende plausibele ontkenning met Whonix binnen TAILS:
  • Stappen voor alle andere routes:
    • Koop een speciale laptop voor je gevoelige activiteiten:
    • Enkele laptop aanbevelingen:
    • Bios/UEFI/Firmware Instellingen van je laptop:
    • Fysiek Tamper beschermen van je laptop:
  • De Whonix route:
    • Het kiezen van je host OS (het OS dat op je laptop is geïnstalleerd):
    • Linux Host OS:
    • MacOS Host OS:
    • Windows Host OS:
    • Virtualbox op uw Host OS:
    • Kies je verbindingsmethode:
    • Neem een anonieme VPN/Proxy:
    • Whonix:
    • Tor over VPN:
    • Whonix Virtuele Machines:
    • Kies uw gastwerkstation Virtuele machine:
    • Linux Virtuele Machine (Whonix of Linux):
    • Windows 10 Virtuele machine:
    • Android Virtuele machine:
    • MacOS Virtuele machine:
    • KeepassXC:
    • Installatie VPN-client (contant geld/Monero betaald):
    • (Optioneel) waardoor alleen de VM's toegang hebben tot het internet terwijl het Host OS wordt afgesloten om lekken te voorkomen:
    • Laatste stap:
  • De Qubes Route:
    • Kies uw verbindingsmethode:
    • Zorg voor een anonieme VPN/Proxy:
    • Installatie:
    • Deksel sluiten Gedrag:
    • Maak verbinding met een openbare Wi-Fi:
    • Qubes OS bijwerken:
    • Qubes OS hardenen:
    • Instellen van de VPN ProxyVM:
    • Stel een veilige browser in binnen Qube OS (optioneel maar aanbevolen):
    • Een Android VM instellen:
    • KeePassXC:
• Anonieme online identiteiten creëren:
  • Inzicht in de methoden die worden gebruikt om anonimiteit te voorkomen en identiteit te verifiëren:
    • Captcha's:
    • Telefoonverificatie:
    • E-mail verificatie:
    • Controle van gebruikersgegevens:
    • Bewijs van ID-verificatie:
    • IP-filters:
    • Browser- en apparaatvingerafdruk:
    • Menselijke interactie:
    • Gebruikersmodulatie:
    • Gedragsanalyse:
    • Financiële transacties:
    • Aanmelden met een of ander platform:
    • Live gezichtsherkenning en biometrie (opnieuw):
    • Handmatige beoordelingen:
  • Online gaan:
    • Nieuwe identiteiten aanmaken:
    • Het echte-namen-systeem:
    • Over betaalde diensten:
    • Overzicht:
    • Bestanden delen of anoniem chatten:
    • Documenten/foto's/video's/audio veilig redigeren:
    • Gevoelige informatie communiceren naar verschillende bekende organisaties:
    • Onderhoudstaken:
• Veilig back-ups maken van je werk:
  • Offline back-ups:
    • Back-ups van geselecteerde bestanden:
    • Volledige schijf-/systeemback-ups:
  • Online back-ups:
    • Bestanden:
    • Informatie:
  • Bestanden synchroniseren tussen apparaten Online:
• Je sporen uitwissen:
  • HDD vs SSD begrijpen:
    • Slijtagegraad.
    • Trimbewerkingen:
    • Afval verzamelen:
    • Conclusie:
  • Hoe je je hele laptop/schijf veilig kunt wissen als je alles wilt wissen:
    • Linux (alle versies inclusief Qubes OS):
    • Windows:
    • MacOS:
  • Hoe je veilig specifieke bestanden/mappen/gegevens kunt wissen op je HDD/SSD en Thumb drives:
    • Windows:
    • Linux (niet Qubes OS):
    • Linux (Qubes OS):
    • MacOS:
  • Enkele extra maatregelen tegen forensisch onderzoek:
    • Metadata verwijderen uit bestanden/documenten/foto's:
    • TAILS:
    • Whonix:
    • MacOS:
    • Linux (Qubes OS):
    • Linux (niet-Qubes):
    • Windows:
  • Enkele sporen van je identiteiten op zoekmachines en verschillende platforms verwijderen:
    • Google:
    • Bing:
    • DuckDuckGo:
    • Yandex:
    • Qwant:
    • Yahoo Zoeken:
    • Baidu:
    • Wikipedia:
    • Archive.today:
    • Internet Archive:
• Enkele low-tech old-school trucs:
  • Verborgen communicatie in het volle zicht:
  • Hoe je kunt zien of iemand je spullen heeft doorzocht:
• Enkele laatste OPSEC-gedachten:
• Als je denkt dat je je verbrand hebt:
  • Als je tijd hebt:
  • Als je geen tijd hebt:
• Een kleine laatste redactionele opmerking

 

[HEISENBERG]

Budget/Materiaalbeperkingen.

• Je hebt maar één laptop tot je beschikking en kunt je niets anders veroorloven. Je gebruikt deze laptop voor je werk, je gezin of je persoonlijke dingen (of allebei):
  
  • Je beste optie is om voor de Tails-route te gaan.
• Je kunt je een extra laptop veroorloven die je zonder toezicht/onbewaking gebruikt voor je gevoelige activiteiten:
  
  • Maar hij is oud, traag en heeft slechte specificaties (minder dan 6GB RAM, minder dan 250GB schijfruimte, oude/trage CPU):
    
    • Je zou voor de Tails-route moeten gaan.
  • Deze is niet zo oud en heeft fatsoenlijke specificaties (ten minste 6 GB RAM, 250 GB schijfruimte of meer, fatsoenlijke CPU):
    
    • Je zou voor de Tails- of Whonix-route kunnen gaan.
  • Het is nieuw en heeft geweldige specificaties (meer dan 8 GB RAM, >250 GB schijfruimte, recente snelle CPU):
    
    • Je kunt voor elke route gaan, maar ik zou Qubes OS aanraden als je bedreigingsmodel het toelaat.
  • Als het een ARM-gebaseerde M1 Mac is:
    
    • Momenteel niet mogelijk om deze redenen:
      
      • Virtualisatie van x86-images op ARM M1 Macs is nog steeds beperkt tot commerciële software (Parallels) die nog niet wordt ondersteund door Whonix.
      • Virtualbox is nog niet beschikbaar voor ARM architectuur.
      • Whonix wordt nog niet ondersteund op ARM-architectuur.
      • Tails wordt nog niet ondersteund op ARM-architectuur.
      • Qubes OS wordt nog niet ondersteund op ARM-architectuur.

Je enige optie op M1 Macs is waarschijnlijk om het voorlopig bij Tor Browses te houden. Maar ik denk dat als je je een M1 Mac kunt veroorloven, je waarschijnlijk een speciale x86 laptop moet aanschaffen voor meer gevoelige activiteiten.

 

[HEISENBERG]

Vaardigheden.

• Heb je helemaal geen IT-vaardigheden en lijkt de inhoud van deze gids je een vreemde taal?
  
  • Dan moet je de Tails-route volgen (met uitzondering van het gedeelte over hardnekkige plausibele ontkenning).
• Je hebt enige IT-vaardigheden en begrijpt deze gids tot nu toe grotendeels.
  
  • Je zou voor de Tails-route (inclusief het gedeelte over hardnekkige plausibele ontkenning) of de Whonix-route moeten gaan.
• Je hebt gemiddelde tot hoge IT-vaardigheden en je bent al bekend met een deel van de inhoud van deze gids.
  
  • Je kunt kiezen wat je wilt, maar ik zou Qubes OS sterk aanbevelen.
• Je bent een l33T hacker, "er is geen lepel", "de taart is een leugen", je gebruikt al jaren "doas" en "al je basis is van ons", en je hebt sterke meningen over systemd.
  
  • Deze gids is niet echt voor jou bedoeld en zal je niet helpen met je HardenedBSD op je geharde Libreboot laptop ;-)

 

[HEISENBERG]

Tegenstanders (bedreigingen).

• Als je voornaamste zorg forensisch onderzoek van je apparaten is:
  
  • Kies dan voor de Tails-route (met optionele aanhoudende plausibele ontkenning).
• Als je je vooral zorgen maakt over tegenstanders op afstand die je online identiteit op verschillende platformen kunnen blootleggen:
  
  • Dan zou je voor de Whonix of Qubes OS routes kunnen gaan.
  • Je zou ook voor Tails kunnen gaan (met optionele aanhoudende plausibele ontkenning).
• Als je absoluut systeembrede plausibele ontkenning wilt ondanks de risico's:
  
  • Je zou kunnen kiezen voor de Tails route inclusief de persistente plausibele ontkenningssectie.
  • Je zou de Whonix-route kunnen gebruiken (alleen op Windows Host OS binnen het bereik van deze gids).
• Als je in een vijandige omgeving bent waar Tor/VPN alleen gebruiken onmogelijk/gevaarlijk/verdacht is:
  
  • Je zou de Tails route kunnen gebruiken (zonder Tor te gebruiken).
  • Je zou de Whonix of Qubes OS route kunnen gebruiken (zonder Whonix te gebruiken).

In alle gevallen zou je deze twee pagina's uit de Whonix documentatie moeten lezen die je een diepgaand inzicht geven in je keuzes:

• https://www.whonix.org/wiki/Warning [Archive.org]
• https://www.whonix.org/wiki/Dev/Threat_Model [Archive.org]
• https://www.whonix.org/wiki/Comparison_with_Others [ Archive.org].

Je vraagt jezelf misschien af: "Hoe weet ik of ik me in een vijandige online omgeving bevind waar activiteiten actief worden gemonitord en geblokkeerd?".

• Lees er eerst hier meer over bij de EFF: https://ssd.eff.org/en/module/understanding-and-circumventing-network-censorship [Archive.org].
• Controleer zelf wat gegevens hier op de website van het Tor Project OONI (Open Observatory of Network Interference): https://explorer.ooni.org/ [ Archive.org]
• Kijk eens op https://censoredplanet.org/ [Archive.org] en kijk of ze gegevens over jouw land hebben.
• Test het zelf met OONI (dit kan riskant zijn in een vijandige omgeving).

 

[HEISENBERG]

Stappen voor alle routes.

Raak gewend aan het gebruik van betere wachtwoorden.

Zie Bijlage A2: Richtlijnen voor wachtwoorden en wachtzinnen.

Zorg voor een anoniem telefoonnummer.

Sla deze stap over als je niet van plan bent om anonieme accounts aan te maken op de meeste mainstream platforms maar alleen anoniem wilt browsen of als de platforms die je gaat gebruiken registratie zonder telefoonnummer toestaan.

Fysieke brandertelefoon en prepaid simkaart.

Koop een brandertelefoon.

Dit is vrij eenvoudig. Laat je smartphone uit of schakel hem uit voordat je weggaat. Neem wat geld mee en ga naar een willekeurige rommelmarkt of kleine winkel (het liefst eentje zonder camerabeelden binnen of buiten en zonder gefotografeerd/gefilmd te worden) en koop gewoon de goedkoopste telefoon die je kunt vinden met contant geld en zonder persoonlijke informatie te verstrekken. Hij hoeft alleen maar te werken.


Persoonlijk zou ik aanraden om een oude "dumbphone" te nemen met een verwijderbare batterij (oude Nokia als je mobiele netwerken die nog toestaan, aangezien sommige landen 1G-2G volledig hebben afgeschaft). Dit is om het automatisch verzenden/verzamelen van telemetrie/diagnosegegevens op de telefoon zelf te voorkomen. Je moet die telefoon nooit verbinden met Wi-Fi.


Het is ook cruciaal om die brandertelefoon nooit aan te zetten (zelfs niet zonder de SIM-kaart) op een geografische locatie die naar jou zou kunnen leiden (bijvoorbeeld thuis/op het werk) en nooit op dezelfde locatie als je andere bekende smartphone (omdat die een IMEI/IMSI heeft die gemakkelijk naar jou zal leiden). Dit lijkt misschien een grote belasting, maar dat is het niet, omdat deze telefoons alleen worden gebruikt tijdens het installatie-/aanmeldproces en voor verificatie van tijd tot tijd.


Zie Bijlage N: Waarschuwing voor smartphones en smart devices.


Je moet testen of de telefoon werkt voordat je naar de volgende stap gaat. Maar ik zal mezelf herhalen en nogmaals zeggen dat het belangrijk is om je smartphone thuis te laten als je gaat (of uit te zetten voor je weggaat als je hem moet houden) en dat je de telefoon test op een willekeurige locatie die niet naar jou te herleiden is (en nogmaals, doe dat niet voor een CCTV, vermijd camera's, wees je bewust van je omgeving). Wi-Fi is hier ook niet nodig.


Als je zeker weet dat de telefoon werkt, schakel dan Bluetooth uit en zet hem uit (verwijder de batterij als dat mogelijk is) en ga naar huis om je normale activiteiten te hervatten. Ga naar de volgende stap.

Koop een anonieme prepaid simkaart.

Dit is het moeilijkste deel van de hele gids. Het is een SPOF (Single Point of Failure). De plaatsen waar je nog steeds prepaid simkaarten kunt kopen zonder ID-registratie worden steeds beperkter vanwege verschillende KYC-achtige voorschriften.


Hier is een lijst van plaatsen waar je ze nu nog kunt krijgen: https://prepaid-data-sim-card.fandom.com/wiki/Registration_Policies_Per_Country [Archive.org].


Je zou een plek moeten kunnen vinden die "niet te ver" is en er gewoon naartoe gaan om prepaid kaarten en opwaardeervouchers met contant geld te kopen. Controleer voordat je gaat of er geen wet is aangenomen die registratie verplicht stelt (voor het geval bovenstaande wiki niet is bijgewerkt). Probeer CCTV en camera's te vermijden en vergeet niet om een herlaadvoucher te kopen bij de SIM-kaart (als het geen pakket is), want de meeste prepaidkaarten vereisen een herlaadbeurt voor gebruik.


Zie Bijlage N: Waarschuwing voor smartphones en smart devices.


Controleer of de mobiele operators die de prepaid SIM-kaarten verkopen de SIM-activatie en herlading accepteren zonder enige vorm van ID-registratie voordat je erheen gaat. Idealiter accepteren ze SIM activatie en herlading vanuit het land waar je woont.


Persoonlijk zou ik GiffGaff in het Verenigd Koninkrijk aanraden omdat ze "betaalbaar" zijn, geen identificatie vereisen voor activering en opwaarderen en je zelfs je nummer tot 2 keer kunt wijzigen vanaf hun website. Met één GiffGaff prepaid simkaart kun je dus 3 nummers gebruiken.


Schakel de telefoon uit na het activeren/opladen en voordat je naar huis gaat. Zet hem nooit meer aan, tenzij je niet op een plek bent die gebruikt kan worden om je identiteit te onthullen en tenzij je smartphone is uitgeschakeld voordat je naar die "niet thuis" plek gaat.

Online telefoonnummer (minder aanbevolen).

DISCLAIMER: Probeer dit pas als je klaar bent met het opzetten van een beveiligde omgeving volgens een van de geselecteerde routes. Deze stap vereist online toegang en mag alleen worden uitgevoerd vanaf een anoniem netwerk. Doe dit niet vanuit een bekende/onveilige omgeving. Sla dit over totdat je klaar bent met een van de routes.


Er zijn veel commerciële diensten die nummers aanbieden om online SMS-berichten te ontvangen, maar de meeste daarvan hebben in principe geen anonimiteit/privacy en kunnen je niet helpen omdat de meeste Social Media platforms een limiet stellen aan het aantal keren dat een telefoonnummer kan worden gebruikt voor registratie.


Er zijn een aantal forums en subreddits (zoals r/phoneverification/) waar gebruikers tegen een kleine vergoeding (via PayPal of een cryptobetaling) de dienst aanbieden om dergelijke sms-berichten voor je te ontvangen. Helaas zitten deze vol oplichters en zijn ze erg riskant in termen van anonimiteit. Je moet deze onder geen enkele omstandigheid gebruiken.


Tot op heden ken ik geen enkele gerenommeerde dienst die deze service aanbiedt en contante betalingen accepteert (per post bijvoorbeeld) zoals sommige VPN-aanbieders. Maar er zijn een paar diensten die online telefoonnummers aanbieden en Monero accepteren die redelijk anoniem zouden kunnen zijn (maar minder aan te raden dan die fysieke manier in het vorige hoofdstuk) die je zou kunnen overwegen:

• Aanbevolen: Vereisen geen identificatie (zelfs geen e-mail):
  
  • (gevestigd in het VK, lijkt niet beschikbaar op het moment van dit schrijven) https://dtmf.io/ [Archive.org] heeft de voorkeur omdat ze zelfs een verborgen serviceadres bieden voor directe toegang via het Tor netwerk op http://dtmfiovjh42uviqez6qn75igbagtiyo724hy3rdxm77dy2m5tt7lbaqd.onion/
  • (gebaseerd op IJsland) https://crypton.sh [Archive.org].
  • (gebaseerd op Oekraïne) https://virtualsim.net/ [ Archive.org].
• Vereisen wel identificatie (geldige e-mail):
  
  • (gebaseerd in Duitsland) https://www.sms77.io/ [Archive.org].
  • (gebaseerd op Rusland) https://onlinesim.ru/ [Archive.org].

Er zijn hier nog enkele andere mogelijkheden opgesomd https://cryptwerk.com/companies/sms/xmr/ [Archive.org]. Gebruik op eigen risico.


DISCLAIMER: Ik kan voor geen van deze aanbieders instaan en daarom zal ik je toch aanraden om het zelf fysiek te doen. In dit geval zul je moeten vertrouwen op de anonimiteit van Monero en zou je geen enkele dienst moeten gebruiken die enige vorm van identificatie vereist met behulp van je echte identiteit. Lees hiervoor deze Monero Disclaimer.


Daarom is het IMHO waarschijnlijk handiger, goedkoper en minder riskant om gewoon een pre-paid simkaart te kopen bij een van de fysieke plaatsen die ze nog steeds voor contant geld verkopen zonder dat je je hoeft te identificeren. Maar er is tenminste een alternatief als je geen andere optie hebt.

Koop een USB-sleutel.

Koop ten minste een of twee generieke USB-sleutels van fatsoenlijk formaat (ten minste 16GB, maar ik zou 32GB aanraden).


Koop of gebruik geen gimmicky zelfversleutelende apparaten zoals deze: https://syscall.eu/blog/2018/03/12/aigo_part1/ [Archive.org].


Sommige zijn misschien erg efficiënt, maar veel zijn gimmicky gadgets die geen echte bescherming bieden.

Zoek een aantal veilige plaatsen met fatsoenlijke openbare Wi-Fi.

Je moet veilige plekken vinden waar je je gevoelige activiteiten kunt doen met behulp van openbaar toegankelijke Wi-Fi (zonder account/ID-registratie, vermijd CCTV's).


Dit kan overal zijn waar je niet direct aan gebonden bent (je huis/werk) en waar je de Wi-Fi een tijdje kunt gebruiken zonder gestoord te worden. Maar ook een plek waar je dit kunt doen zonder door iemand "opgemerkt" te worden.


Als je denkt dat Starbucks een goed idee is, denk er dan nog eens over na:

• Ze hebben waarschijnlijk CCTV's in al hun winkels en bewaren die opnames voor een onbekende tijd.
• In de meeste winkels moet je een koffie kopen om de Wi-Fi-toegangscode te krijgen. Als je deze koffie met een elektronische methode betaalt, kunnen ze je WiFi-toegang koppelen aan je identiteit.

Situatiebewustzijn is de sleutel en je moet je voortdurend bewust zijn van je omgeving en toeristische plekken vermijden alsof ze zijn geteisterd door ebola. Je wilt voorkomen dat je op een foto/video van iemand verschijnt terwijl diegene een selfie neemt, een TikTok-video maakt of een reisfoto op zijn Instagram plaatst. Als je dat toch doet, vergeet dan niet dat de kans groot is dat die foto's online komen te staan (openbaar of privé) met volledige metadata (tijd/datum/geolocatie) en jouw gezicht erbij. Onthoud dat deze foto's geïndexeerd kunnen en zullen worden door Facebook/Google/Yandex/Apple en waarschijnlijk alle 3 de brieveninstanties.


Hoewel dit nog niet beschikbaar is voor je lokale politieagenten, zou het in de nabije toekomst wel kunnen.


Idealiter heb je een set van 3-5 verschillende plaatsen zoals deze nodig om te voorkomen dat je dezelfde plaats twee keer gebruikt. Je zult in de loop van de weken meerdere keren moeten reizen voor de verschillende stappen in deze gids.


Je kunt ook overwegen om vanaf een veilige afstand verbinding te maken met deze plaatsen voor extra veiligheid. Zie Bijlage Q: Antenne met groot bereik gebruiken om vanaf een veilige afstand verbinding te maken met openbare Wi-Fis.

 

[HEISENBERG]

De staartroute.

Dit deel van de gids zal je helpen bij het opzetten van Tails als een van de volgende dingen waar is:

• U kunt zich geen speciale laptop veroorloven
• Je dedicated laptop is gewoon te oud en te traag
• Je hebt weinig IT-vaardigheden
• Je besluit toch voor Tails te gaan

Tails staat voor Amnesic Incognito Live System. Het is een opstartbaar Live Besturingssysteem dat draait vanaf een USB-stick die is ontworpen om geen sporen achter te laten en alle verbindingen via het Tor-netwerk te forceren.


Je steekt de Tails USB stick in je laptop, start hem op en je hebt een volledig besturingssysteem dat draait met privacy en anonimiteit in gedachten. Zodra je de computer afsluit, is alles verdwenen, tenzij je het ergens hebt opgeslagen.


Tails is een zeer eenvoudige manier om snel aan de slag te gaan met wat je hebt en zonder veel te leren. Het heeft uitgebreide documentatie en tutorials.


WAARSCHUWING: Tails is niet altijd up-to-date met de gebundelde software. En ook niet altijd up-to-date met de Tor Browser updates. Je moet er altijd voor zorgen dat je de nieuwste versie van Tails gebruikt en je moet uiterst voorzichtig zijn met het gebruik van gebundelde apps binnen Tails die kwetsbaar kunnen zijn voor exploits en jelocatie265kunnen onthullen.


Het heeft echter een aantal nadelen:

• Tails gebruikt Tor en daarom zul je Tor gebruiken om toegang te krijgen tot elke bron op het internet. Dit alleen al maakt je verdacht op de meeste platformen waar je anonieme accounts wilt aanmaken (dit wordt later in meer detail uitgelegd).
• Je ISP (of het nu de jouwe is of een openbare Wi-Fi) zal ook zien dat je Tor gebruikt en dit kan je op zichzelf al verdacht maken.
• Tails bevat niet (native) een aantal van de software die je later zou willen gebruiken wat de dingen behoorlijk compliceert als je een aantal specifieke dingen wilt draaien (Android Emulators bijvoorbeeld).
• Tails gebruikt Tor Browser die, hoewel het erg veilig is, ook gedetecteerd zal worden door de meeste platformen en je zal belemmeren in het creëren van anonieme identiteiten op veel platformen.
• Tails zal je niet meer beschermen tegen de 5$ wrench8.
• Tor op zich is misschien niet genoeg om je te beschermen tegen een tegenstander met genoeg middelen zoals eerder uitgelegd.

Belangrijke opmerking: Als je laptop onder toezicht staat en er zijn enkele lokale beperkingen, lees dan Appendix U: Hoe (sommige) lokale beperkingen op computers onder toezicht te omzeilen.


Lees ook de Tails Documentatie, Waarschuwingen en beperkingen voordat u verder gaat https://tails.boum.org/doc/about/warnings/index.en.html [Archive.org].


Rekening houdend met dit alles en het feit dat hun documentatie geweldig is, zal ik je doorverwijzen naar hun goed gemaakte en goed onderhouden tutorial:


https://tails.boum.org/install/index.en.html [Archive.org], kies je smaak en ga verder.


Als je klaar bent en een werkende Tails op je laptop hebt, ga dan naar de stap Anonieme online identiteiten aanmaken verderop in deze gids.


Als je problemen hebt met toegang tot Tor vanwege censuur of andere problemen, kun je proberen Tor Bridges te gebruiken door deze Tails tutorial te volgen: https://tails.boum.org/doc/first_steps/welcome_screen/bridge_mode/index.en.html [Archive.org] en meer informatie hierover te vinden op Tor Documentation https://2019.www.torproject.org/docs/bridges [ Archive.org].


Als je denkt dat alleen Tor gebruiken gevaarlijk/verdacht is, zie dan Appendix P: Het internet zo veilig mogelijk benaderen wanneer Tor/VPN geen optie is.

 

[HEISENBERG]

Persistente plausibele ontkenning met Whonix binnen Tails.

Overweeg om het https://github.com/aforensics/HiddenVM [Archive.org] project voor Tails te bekijken.


Dit project is een slim idee van een met één klik te bedienen zelfstandige VM-oplossing die je op een versleutelde schijf zou kunnen opslaan met behulp van plausibele ontkenning256 (zie De Whonix-route: eerste hoofdstukken en ook voor wat uitleg over Plausibele ontkenning, evenals de sectie Hoe veilig specifieke bestanden/mappen/gegevens op je HDD/SSD en Thumb drives te verwijderen: aan het einde van deze gids voor meer begrip).


Dit zou het mogelijk maken om een hybride systeem te maken dat Tails mengt met de virtualisatie opties van de Whonix route in deze gids.

Opmerking: Zie Kies uw connectiviteitsmethode in de Whonix-route voor meer uitleg over Stream Isolation.


In het kort:

• Je zou niet-persistente Tails vanaf één USB-sleutel kunnen draaien (volgens hun aanbevelingen)
• Je zou persistente VM's kunnen opslaan in een secundaire map die normaal versleuteld kan worden of met de plausibele ontkenningsfunctie van Veracrypt (dit kunnen bijvoorbeeld Whonix VM's zijn of andere).
• Je profiteert wel van de toegevoegde Tor Stream Isolation functie (zie Tor over VPN voor meer informatie over stream isolatie).

In dat geval, zoals het project het beschrijft, zouden er geen sporen van je activiteiten op je computer moeten zijn en zou het gevoelige werk gedaan kunnen worden vanuit VM's die zijn opgeslagen in een Verborgen container die niet gemakkelijk ontdekt zou moeten kunnen worden door een soft adversary.


Deze optie is vooral interessant voor "licht reizen" en om forensische aanvallen te beperken terwijl je doorzettingsvermogen op je werk behoudt. Je hebt slechts 2 USB sleutels nodig (één met Tails en één met een Veracrypt container die persistente Whonix bevat). De eerste USB-sleutel lijkt alleen Tails te bevatten en de tweede USB lijkt alleen willekeurige rommel te bevatten, maar heeft een lokvolume dat je kunt laten zien voor plausibele ontkenning.


Je kunt je ook afvragen of dit zal resulteren in een "Tor over Tor" setup, maar dat is niet het geval. De Whonix VM's zullen het netwerk direct benaderen via clearnet en niet via Tails Onion Routing.


In de toekomst zou dit ook ondersteund kunnen worden door het Whonix project zelf zoals hier uitgelegd: https://www.whonix.org/wiki/Whonix-Host [Archive.org] maar het wordt nu nog niet aanbevolen voor eindgebruikers.


Onthoud dat encryptie met of zonder plausibele ontkenning geen wondermiddel is en van weinig nut zal zijn in geval van marteling. Afhankelijk van wie je tegenstander is (je dreigingsmodel), kan het zelfs verstandig zijn om Veracrypt (voorheen TrueCrypt) helemaal niet te gebruiken, zoals te zien is in deze demonstratie: https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org].


Plausibele ontkenning is alleen effectief tegen zachte rechtmatige tegenstanders die geen fysieke middelen zullen gebruiken.


Zie https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org].


LET OP: Raadpleeg Appendix K: Overwegingen voor het gebruik van externe SSD-schijven en Begrip HDD vs SSD secties als u overweegt om dergelijke verborgen VM's op een externe SSD-schijf op te slaan:

• Gebruik geen verborgen volumes op SSD-schijven omdat dit niet wordt ondersteund/aanbevolen door Veracrypt.
• Gebruik in plaats daarvan bestandscontainers in plaats van versleutelde volumes.
• Zorg ervoor dat je weet hoe je gegevens van een externe SSD-schijf moet opschonen.

Hier is mijn gids over hoe dit te doen:

Eerste run.

• Download de nieuwste HiddenVM release van https://github.com/aforensics/HiddenVM/releases [Archive.org].
• Download de laatste Whonix XFCE versie van https://www.whonix.org/wiki/VirtualBox/XFCE [ Archive.org].
• Bereid een USB-sleutel/schijf voor met Veracrypt
  
  • Maak een verborgen volume aan op de USB/Sleutel drive (ik raad tenminste 16GB aan voor het verborgen volume)
  • Plaats in het buitenste volume enkele lokbestanden
  • Plaats in het verborgen volume het HiddenVM appimage bestand
  • Plaats het Whonix XFCE ova-bestand in het verborgen volume
• Opstarten in Tails
• Stel de toetsenbordindeling in zoals je wilt.
• Selecteer Additional Settings en stel een administrator (root) wachtwoord in (nodig voor de installatie van HiddenVM)
• Start Tails
• Maak verbinding met een veilige wi-fi (dit is een vereiste stap voor de rest om te werken)
• Ga naar Utilities en unlock je Veracrypt (verborgen) volume (vergeet niet het verborgen volume selectievakje aan te vinken)
• Start het HiddenVM appimage
• Wanneer u wordt gevraagd een map te selecteren, selecteert u de Root van het verborgen volume (waar de Whonix OVA en HiddenVM app image-bestanden zich bevinden).
• Laat het zijn ding doen (dit zal in principe Virtualbox binnen Tails installeren met één klik)
• Als het klaar is, zou het automatisch Virtualbox Manager moeten starten.
• Importeer de Whonix OVA-bestanden (zie Whonix Virtual Machines:)

Let op, als je tijdens het importeren problemen ondervindt zoals "NS_ERROR_INVALID_ARG (0x80070057)", dan komt dat waarschijnlijk omdat er niet genoeg schijfruimte is op je Verborgen volume voor Whonix. Whonix zelf beveelt 32GB vrije ruimte aan, maar dat is waarschijnlijk niet nodig en 10GB zou om te beginnen genoeg moeten zijn. Je kunt proberen deze fout te omzeilen door het Whonix *.OVA bestand te hernoemen naar *.TAR en het te decomprimeren in Tails. Als je klaar bent met decomprimeren, verwijder dan het OVA-bestand en importeer de andere bestanden met de Import wizard. Deze keer zou het kunnen werken.

Latere bewerkingen.

• Opstarten in Tails
• Verbinding maken met Wi-Fi
• Ontgrendel je verborgen volume
• Start de HiddenVM App
• Dit zou automatisch VirtualBox manager moeten openen en je vorige VM's van de eerste run moeten tonen

 

[HEISENBERG]

Stappen voor alle andere routes.

Koop een speciale laptop voor je gevoelige activiteiten.

Idealiter zou je een speciale laptop moeten aanschaffen die op geen enkele gemakkelijke manier aan jou gebonden is (idealiter anoniem betaald met contant geld en met dezelfde voorzorgsmaatregelen als eerder genoemd voor de telefoon en de SIM-kaart). Het is aanbevolen, maar niet verplicht, omdat deze gids je zal helpen je laptop zoveel mogelijk te beveiligen om het lekken van gegevens op verschillende manieren te voorkomen. Er zullen verschillende verdedigingslinies staan tussen je online identiteiten en jezelf die de meeste tegenstanders ervan zouden moeten weerhouden om je te de-anonimiseren, behalve staten/globale actoren met aanzienlijke middelen.


Deze laptop zou idealiter een schone, vers geïnstalleerde laptop moeten zijn (met Windows, Linux of MacOS), vrij van je normale dagelijkse activiteiten en offline (nog nooit verbonden met het netwerk). In het geval van een Windows-laptop, en als je die voor zo'n schone installatie hebt gebruikt, mag hij ook niet geactiveerd zijn (opnieuw geïnstalleerd zonder productsleutel). In het bijzonder in het geval van MacBooks, mag het nooit eerder op wat voor manier dan ook aan je identiteit zijn gekoppeld. Koop dus tweedehands met contant geld van een onbekende die je identiteit niet kent.


Dit is om toekomstige problemen te beperken in het geval van online lekken (inclusief telemetrie van je besturingssysteem of apps) die unieke identificatoren van de laptop in gevaar kunnen brengen tijdens het gebruik (MAC-adres, Bluetooth-adres en productsleutel ...). Maar ook om te voorkomen dat je getraceerd wordt als je de laptop moet weggooien.


Als je deze laptop eerder hebt gebruikt voor verschillende doeleinden (zoals je dagelijkse activiteiten), zijn alle hardware-identifiers waarschijnlijk bekend en geregistreerd door Microsoft of Apple. Als later een van deze identifiers wordt gecompromitteerd (door malware, telemetrie, exploits, menselijke fouten ...) kan dit naar jou leiden.


De laptop moet ten minste 250GB schijfruimte hebben , ten minste 6GB (idealiter 8GB of 16GB) RAM en moet een paar virtuele machines tegelijk kunnen draaien. Hij moet een werkende batterij hebben die een paar uur meegaat.


Deze laptop kan een HDD (7200rpm) of een SSD/NVMe schijf hebben. Beide mogelijkheden hebben hun voordelen en problemen die later worden beschreven.


Alle toekomstige online stappen met deze laptop zouden idealiter moeten worden uitgevoerd vanaf een veilig netwerk zoals een openbaar Wi-Fi op een veilige plaats (zie Zoek een aantal veilige plaatsen met fatsoenlijk openbaar Wi-Fi). Maar verschillende stappen moeten eerst offline worden uitgevoerd.

 

[HEISENBERG]

Enkele aanbevelingen voor laptops.

Als je het je kunt veroorloven, kun je overwegen om een Purism Librem laptop(https://puri.sm [Archive.org]) of System76 laptops(https://system76.com/ [Archive.org]) aan te schaffen terwijl je Coreboot gebruikt (waarbij Intel IME vanaf de fabriek is uitgeschakeld).


In andere gevallen zou ik sterk aanraden om laptops van zakelijke kwaliteit te nemen (dus geen consumenten/gaming kwaliteit laptops) als dat mogelijk is. Bijvoorbeeld een ThinkPad van Lenovo (mijn persoonlijke favoriet). Hier zijn lijsten van laptops die op dit moment Libreboot ondersteunen en andere waar je zelf Coreboot kunt flashen (waarmee je Intel IME of AMD PSP kunt uitschakelen):

• https://freundschafter.com/research...-intel-me-iamt-and-amd-psp-secure-technology/ [Archive.org]
• https://libreboot.org/docs/hardware/ [Archive.org]
• https://coreboot.org/status/board-status.html [Archive.org].

Dit komt omdat die zakelijke laptops meestal betere en meer aanpasbare beveiligingsfuncties bieden (vooral in de BIOS/UEFI instellingen) met langere ondersteuning dan de meeste consumentenlaptops (Asus, MSI, Gigabyte, Acer...). De interessante functies om naar te zoeken zijn IMHO:

• Betere aangepaste Secure Boot-instellingen (waarbij je selectief alle sleutels kunt beheren en niet alleen de standaardsleutels kunt gebruiken)
• HDD/SSD-wachtwoorden naast alleen BIOS/UEFI-wachtwoorden.
• AMD laptops zouden interessanter kunnen zijn omdat sommige de mogelijkheid bieden om AMD PSP (het AMD equivalent van Intel IME) standaard uit te schakelen in de BIOS/UEFI instellingen. En, omdat AFAIK, AMD PSP werd gecontroleerd en in tegenstelling tot IME geen "kwaadaardige" functionaliteiten bleek te hebben. Als je echter voor de Qubes OS Route gaat, overweeg dan Intel omdat zij AMD niet ondersteunen met hun anti-evil-maid systeem.
• Secure Wipe tools vanuit het BIOS (vooral handig voor SSD/NVMe schijven, zie Appendix M: BIOS/UEFI opties om schijven te wissen in verschillende merken).
• Betere controle over het in- en uitschakelen van bepaalde randapparatuur (USB-poorten, Wi-Fis, Bluetooth, Camera, Microfoon ...).
• Betere beveiligingsfuncties met virtualisatie.
• Inheemse bescherming tegen sabotage.
• Langere ondersteuning met BIOS/UEFI updates (en daaropvolgende BIOS/UEFI beveiligingsupdates).
• Sommige worden ondersteund door Libreboot

 

[HEISENBERG]

Bios/UEFI/Firmware-instellingen van je laptop.

PC.

Deze instellingen zijn toegankelijk via het opstartmenu van je laptop. Hier is een goede tutorial van HP die alle manieren uitlegt om toegang te krijgen tot het BIOS op verschillende computers: https://store.hp.com/us/en/tech-takes/how-to-enter-bios-setup-windows-pcs [Archive.org].


Meestal is de manier om toegang te krijgen het indrukken van een specifieke toets (F1, F2 of Del) tijdens het opstarten (vóór je OS).


Als je eenmaal binnen bent, moet je een paar aanbevolen instellingen toepassen:

• Schakel Bluetooth volledig uit als dat mogelijk is.
• Schakel biometrie (vingerafdrukscanners) uit als je die hebt. Je zou echter een biometrische extra controle kunnen toevoegen voor alleen het opstarten (pre-boot) maar niet voor toegang tot de BIOS/UEFI instellingen.
• Schakel de Webcam en Microfoon uit als dat mogelijk is.
• Schakel BIOS/UEFI-wachtwoord in en gebruik een lange wachtwoordzin in plaats van een wachtwoord (als dat kan) en zorg ervoor dat dit wachtwoord vereist is voor:
  
  • Toegang tot de BIOS/UEFI-instellingen zelf
  • De opstartvolgorde wijzigen
  • Opstarten/inschakelen van het apparaat
• Schakel HDD/SSD-wachtwoord in als deze functie beschikbaar is. Deze functie voegt een wachtwoord toe op de HDD/SSD zelf (niet in de BIOS/UEFI-firmware) dat voorkomt dat deze HDD/SSD zonder het wachtwoord in een andere computer kan worden gebruikt. Merk op dat deze functie ook specifiek is voor sommige fabrikanten en specifieke software kan vereisen om deze schijf te ontgrendelen vanaf een compleet andere computer.
• Voorkom toegang tot de opstartopties (de opstartvolgorde) zonder het BIOS/UEFI-wachtwoord op te geven als dat mogelijk is.
• Schakel USB/HDMI of een andere poort (Ethernet, Firewire, SD-kaart ...) uit als dat mogelijk is.
• Schakel Intel ME uit als dat mogelijk is.
• Schakel AMD PSP uit als dat kan (AMD's equivalent van IME, zie Uw CPU).
• Schakel Secure Boot uit als je van plan bent om QubesOS te gebruiken, aangezien ze dit niet standaard ondersteunen. Houd het aan als u van plan bent Linux/Windows te gebruiken.
• Controleer of je laptop BIOS een veilig wissen optie heeft voor je HDD/SSD die handig kan zijn in geval van nood.

Schakel deze alleen in op een "noodzaak tot gebruik" basis en schakel deze weer uit na gebruik. Dit kan helpen bij het beperken van sommige aanvallen in het geval dat je laptop in beslag wordt genomen terwijl hij vergrendeld is, maar nog wel aan staat OF als je hem vrij snel moest afsluiten en iemand hem in bezit heeft genomen (dit onderwerp wordt later in deze handleiding uitgelegd).

Over Secure Boot.

Dus, wat is Secure Boot In het kort, het is een UEFI-beveiligingsfunctie ontworpen om te voorkomen dat je computer een besturingssysteem opstart waarvan de bootloader niet werd ondertekend door specifieke sleutels opgeslagen in de UEFI-firmware van je laptop.


Als het besturingssysteem (of de bootloader) het ondersteunt, kun je de sleutels van je bootloader opslaan in je UEFI-firmware en dit voorkomt dat een niet-geautoriseerd besturingssysteem wordt opgestart (zoals een live OS USB of iets dergelijks).


Secure Boot instellingen worden beschermd door het wachtwoord dat je instelt om toegang te krijgen tot de BIOS/UEFI instellingen. Als je dat wachtwoord hebt, kun je Secure Boot uitschakelen en toestaan dat niet-ondertekende besturingssystemen opstarten op je systeem. Dit kan helpen om sommige Evil-Maid aanvallen te beperken (later in deze gids uitgelegd).


In de meeste gevallen is Secure Boot standaard uitgeschakeld of ingeschakeld maar in de "setup" modus waardoor elk systeem kan booten. Om Secure Boot te laten werken, moet je besturingssysteem het ondersteunen en dan zijn bootloader ondertekenen en deze ondertekeningssleutels naar je UEFI-firmware sturen. Daarna moet je naar je BIOS/UEFI instellingen gaan en de pushed keys van je OS opslaan en de Secure Boot veranderen van setup naar user mode (of custom mode in sommige gevallen).


Na het uitvoeren van die stap zullen alleen de besturingssystemen waarvan je UEFI-firmware de integriteit van de bootloader kan verifiëren, kunnen opstarten.


De meeste laptops hebben al een aantal standaardsleutels opgeslagen in de beveiligde opstartinstellingen. Meestal zijn die afkomstig van de fabrikant zelf of van sommige bedrijven zoals Microsoft. Dit betekent dus dat het standaard altijd mogelijk zal zijn om sommige USB schijven op te starten, zelfs met secure boot. Hieronder vallen Windows, Fedora, Ubuntu, Mint, Debian, CentOS, OpenSUSE, Tails, Clonezilla en vele anderen. Secure Boot wordt op dit moment echter helemaal niet ondersteund door QubesOS.


In sommige laptops kun je die sleutels beheren en degene die je niet wilt verwijderen met een "aangepaste modus" om alleen je eigen bootloader te autoriseren die je zelf kunt ondertekenen als je dat echt wilt.


Dus, waar beschermt Secure Boot je tegen? Het beschermt je laptop tegen het opstarten van niet-ondertekende bootloaders (door de OS-provider) met bijvoorbeeld geïnjecteerde malware.


Waar beschermt Secure Boot je niet tegen?

• Secure Boot versleutelt je schijf niet en een tegenstander kan nog steeds gewoon de schijf van je laptop verwijderen en er gegevens uithalen met een andere machine. Secure Boot is daarom nutteloos zonder volledige schijfversleuteling.
• Secure Boot beschermt je niet tegen een ondertekende bootloader die gecompromitteerd en ondertekend zou zijn door de fabrikant zelf (Microsoft bijvoorbeeld in het geval van Windows). De meeste mainstream Linux distributies zijn tegenwoordig ondertekend en zullen opstarten met Secure Boot ingeschakeld.
• Secure Boot kan gebreken en exploits hebben, net als elk ander systeem. Als je een oude laptop gebruikt die niet profiteert van nieuwe BIOS/UEFI updates, kunnen deze niet verholpen worden.

Daarnaast zijn er een aantal aanvallen mogelijk op Secure Boot, zoals (uitgebreid) wordt uitgelegd in deze technische video's:

• Defcon 22,
  [Invidious]
• BlackHat 2016,
  [Invidious]

Het kan dus nuttig zijn als extra maatregel tegen sommige tegenstanders, maar niet allemaal. Secure Boot op zichzelf versleutelt je harde schijf niet. Het is een toegevoegde laag, maar dat is het.


Ik raad je nog steeds aan om het aan te laten staan als je kunt.

Mac.

Neem even de tijd om een firmware wachtwoord in te stellen volgens de tutorial hier: https://support.apple.com/en-au/HT204455 [Archive.org]


U moet ook de beveiliging voor het resetten van het firmwarewachtwoord inschakelen (beschikbaar bij Catalina) volgens de documentatie hier: https://support.apple.com/en-gb/guide/security/sec28382c9ca/web [Archive. org].


Deze functie vermindert de mogelijkheid voor sommige tegenstanders om hardware-hacks te gebruiken om uw firmware-wachtwoord uit te schakelen/te omzeilen. Merk op dat dit ook voorkomt dat Apple zelf toegang krijgt tot de firmware in geval van reparatie.

 

[HEISENBERG]

Beveilig je laptop fysiek.

Op een bepaald moment zul je deze laptop onvermijdelijk ergens alleen laten. Je zult er niet mee slapen en hem niet elke dag overal mee naartoe nemen. Je moet het zo moeilijk mogelijk maken voor iemand om ermee te knoeien zonder dat je het merkt. Dit is vooral handig tegen beperkte tegenstanders die geen 5$ sleutel tegen je zullen gebruiken.


Het is belangrijk om te weten dat het voor sommige specialisten triviaal eenvoudig is om een key logger in je laptop te installeren, of om gewoon een kopie van je harde schijf te maken waarmee ze later de aanwezigheid van versleutelde gegevens kunnen detecteren met forensische technieken (daarover later meer).


Hier is een goede goedkope methode om je laptop fraudebestendig te maken met nagellak (met glitters) https://mullvad.net/en/help/how-tamper-protect-laptop/ [Archive.org] (met foto's).


Hoewel dit een goede goedkope methode is, kan het ook argwaan wekken omdat het nogal "opvallend" is en het zou kunnen onthullen dat je "iets te verbergen hebt". Er zijn dus subtielere manieren om hetzelfde resultaat te bereiken. Je kunt bijvoorbeeld ook een macro-opname maken van de schroeven aan de achterkant van je laptop of een heel klein beetje kaarsvet in een van de schroeven doen dat eruitziet als gewoon vuil. Je kunt dan controleren of er geknoeid is door de foto's van de schroeven te vergelijken met nieuwe. Hun oriëntatie kan een beetje veranderd zijn als je tegenstander niet voorzichtig genoeg was (ze precies op dezelfde manier aandraaien). Of de was in de bodem van een schroefkop kan beschadigd zijn in vergelijking met voorheen.

Dezelfde technieken kunnen worden gebruikt met USB-poorten waar je een klein beetje kaarsvet in de plug kunt stoppen dat beschadigd raakt als je er een USB-sleutel insteekt.


Controleer in risicovollere omgevingen je laptop op sabotage voordat je hem regelmatig gebruikt.

 

[HEISENBERG]

De Whonix-route.

Het kiezen van je Host OS (het OS dat geïnstalleerd is op je laptop).

Deze route maakt uitgebreid gebruik van virtuele machines, ze vereisen een host OS om de virtualisatiesoftware te draaien. Je hebt 3 aanbevolen keuzes in dit deel van de gids:

• Een Linux-distributie naar keuze (exclusief Qubes OS)
• Windows 10 (bij voorkeur de Home-editie vanwege de afwezigheid van Bitlocker)
• MacOS (Catalina of hoger)

Bovendien is de kans groot dat je Mac gekoppeld is of is geweest aan een Apple account (op het moment van aankoop of na aanmelding) en daarom kunnen de unieke hardware-identifiers naar jou leiden in het geval van een lek in hardware-identifiers.


Linux is ook niet noodzakelijk de beste keuze voor anonimiteit, afhankelijk van je bedreigingsmodel. Dit komt omdat we met Windows gemakkelijk Plausible Deniability (ook wel Deniable Encryption) kunnen gebruiken op OS-niveau. Windows is helaas tegelijkertijd ook een privacy-nachtmerrie, maar is de enige (handige) optie voor het gebruik van plausibele ontkenning op OS-niveau. Windows telemetrie en telemetrie blokkering is ook uitgebreid gedocumenteerd wat veel problemen zou moeten verminderen.


Dus, wat is plausibele ontkenning? Het is de mogelijkheid om samen te werken met een tegenstander die toegang vraagt tot je apparaat/gegevens zonder je ware geheim te onthullen. Dit alles met behulp van Deniable Encryption.


Een zachte legale tegenstander zou kunnen vragen om het wachtwoord van je versleutelde laptop. In eerste instantie zou je kunnen weigeren om een wachtwoord te geven (met behulp van je "recht om te zwijgen", "recht om jezelf niet te beschuldigen"), maar sommige landen implementeren wetten om dit vrij te stellen van dergelijke rechten (want terroristen en "denk aan de kinderen"). In dat geval moet je misschien het wachtwoord onthullen of misschien een gevangenisstraf krijgen wegens minachting van de rechtbank. Dit is waar plausibele ontkenning om de hoek komt kijken.


Je zou dan een wachtwoord kunnen onthullen, maar dat wachtwoord geeft alleen toegang tot "plausibele gegevens" (een nep-OS). De forensische onderzoekers zullen zich er terdege van bewust zijn dat het mogelijk is dat je gegevens verborgen hebt, maar ze zouden niet in staat moeten zijn om dit te bewijzen (als je dit goed doet). Je hebt meegewerkt en de onderzoekers hebben toegang tot iets, maar niet tot wat je eigenlijk wilt verbergen. Aangezien de bewijslast aan hun kant zou moeten liggen, zullen ze geen andere keuze hebben dan je te geloven, tenzij ze een bewijs hebben dat je verborgen gegevens hebt.


Deze functie kan worden gebruikt op OS-niveau (een aannemelijk OS en een verborgen OS) of op bestandsniveau, waarbij je een versleutelde bestandscontainer hebt (vergelijkbaar met een zip-bestand) waarin verschillende bestanden worden weergegeven, afhankelijk van het versleutelingswachtwoord dat je gebruikt.


Dit betekent ook dat je je eigen geavanceerde "plausibele ontkenning" setup kunt opzetten met elk Host OS door bijvoorbeeld Virtuele Machines op te slaan op een Veracrypt verborgen volume container (wees voorzichtig voor sporen in het Host OS die zouden moeten worden schoongemaakt als het host OS persistent is, zie Enkele aanvullende maatregelen tegen forensisch onderzoek sectie verderop). Er is een project om dit binnen Tails te bereiken(https://github.com/aforensics/HiddenVM [Archive.org]) dat je host OS niet persistent maakt en plausibele ontkenning binnen Tails gebruikt.


In het geval van Windows is plausibele ontkenning ook de reden dat je idealiter Windows 10 Home zou moeten hebben (en niet Pro). Dit komt omdat Windows 10 Pro van nature een volledig schijfversleutelingssysteem (Bitlocker) biedt, terwijl Windows 10 Home helemaal geen volledige schijfversleuteling biedt. We zullen later open-source software van derden gebruiken voor encryptie die volledige schijfversleuteling mogelijk maakt op Windows 10 Home. Dit geeft je een goed (plausibel) excuus om deze software te gebruiken. Terwijl het gebruik van deze software op Windows 10 Pro verdacht zou zijn.


Opmerking over Linux: Dus, hoe zit het met Linux en plausibele ontkenning? Ja, het is min of meer mogelijk om plausibele ontkenning ook met Linux te bereiken. Maar het is gecompliceerd om op te zetten en IMHO vereist een dusdanig hoog vaardigheidsniveau dat je deze gids waarschijnlijk niet nodig hebt om het te proberen.


Helaas is encryptie geen magie en zijn er risico's aan verbonden:

Bedreigingen met encryptie.

De 5$ moersleutel.

Onthoud dat encryptie met of zonder plausibele ontkenning geen wondermiddel is en van weinig nut zal zijn in geval van marteling. Afhankelijk van wie je tegenstander is (je bedreigingsmodel), kan het zelfs verstandig zijn om Veracrypt (voorheen TrueCrypt) helemaal niet te gebruiken, zoals deze demonstratie laat zien: https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org].


Plausibele ontkenning is alleen effectief tegen zachte legale tegenstanders die geen fysieke middelen zullen gebruiken. Vermijd, indien mogelijk, het gebruik van software die tot plausibele ontkenning in staat is (zoals Veracrypt) als je bedreigingsmodel harde tegenstanders omvat. Windows-gebruikers moeten in dat geval dus Windows Pro installeren als host-OS en in plaats daarvan Bitlocker gebruiken.


Zie https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org].

Evil Maid Aanval.

Evil Maid Attacks worden uitgevoerd wanneer iemand met je laptop knoeit terwijl je weg bent. Om te installeren om je harde schijf te klonen, malware of een key logger te installeren. Als ze je harde schijf kunnen klonen, kunnen ze een afbeelding van je harde schijf vergelijken op het moment dat ze hem meenamen terwijl je weg was met de harde schijf op het moment dat ze hem van je in beslag nemen. Als je de laptop tussendoor nog een keer hebt gebruikt, kunnen forensische onderzoekers misschien het bestaan van de verborgen gegevens bewijzen door te kijken naar de variaties tussen de twee afbeeldingen in wat een lege/ongebruikte ruimte zou moeten zijn. Dit kan leiden tot sterk bewijs voor het bestaan van verborgen gegevens. Als ze een key logger of malware in je laptop installeren (software of hardware), kunnen ze eenvoudig het wachtwoord van je krijgen voor later gebruik wanneer ze de laptop in beslag nemen. Dergelijke aanvallen kunnen plaatsvinden bij je thuis, in je hotel, bij een grensovergang of overal waar je je apparaten onbeheerd achterlaat.


Je kunt deze aanval beperken door het volgende te doen (zoals eerder aanbevolen):

• Zorg voor een basis sabotagebeveiliging (zoals eerder uitgelegd) om fysieke toegang tot de interne onderdelen van de laptop te voorkomen zonder dat je het weet. Dit voorkomt dat ze je schijven klonen en een fysieke key logger installeren zonder dat je het weet.
• Schakel alle USB-poorten uit (zoals eerder uitgelegd) in een BIOS/UEFI met wachtwoordbeveiliging. Nogmaals, ze zullen ze niet kunnen inschakelen (zonder fysiek toegang te krijgen tot het moederbord om het BIOS te resetten) om een USB-apparaat op te starten dat je harde schijf kan klonen of op software gebaseerde malware kan installeren die kan fungeren als een key logger.
• Stel BIOS/UEFI/Firmware-wachtwoorden in om onbevoegd opstarten van een onbevoegd apparaat te voorkomen.
• Sommige besturingssystemen en encryptiesoftware hebben een anti-EvilMaid bescherming die ingeschakeld kan worden. Dit is het geval met Windows/Veracrypt en QubeOS.

Cold-Boot aanval.

Cold Boot aanvallen zijn lastiger dan de Evil Maid aanval, maar kunnen deel uitmaken van een Evil Maid aanval omdat het vereist dat een tegenstander in het bezit komt van je laptop terwijl je je apparaat actief gebruikt of kort daarna.


Het idee is vrij eenvoudig, zoals te zien is in deze video, een tegenstander kan theoretisch snel je apparaat opstarten met een speciale USB-sleutel die de inhoud van het RAM (het geheugen) van het apparaat kopieert nadat je het hebt afgesloten. Als de USB-poorten zijn uitgeschakeld of als ze meer tijd nodig hebben, kunnen ze het apparaat openen en het geheugen "afkoelen" met behulp van een spray of andere chemicaliën (vloeibare stikstof bijvoorbeeld) waardoor het geheugen niet vervalt. Ze zouden dan de inhoud kunnen kopiëren voor analyse. Deze geheugendump zou de sleutel kunnen bevatten om je apparaat te ontsleutelen. We zullen later een paar principes toepassen om dit tegen te gaan.


In het geval van Plausible Deniability, zijn er enkele forensische studies geweest over het technisch bewijzen van de aanwezigheid van de verborgen gegevens met een eenvoudig forensisch onderzoek (zonder een Cold Boot/Evil Maid aanval), maar deze zijn betwist door andere studies en door de beheerder van Veracrypt, dus ik zou me daar nog niet te veel zorgen over maken.


Dezelfde maatregelen die worden gebruikt om Evil Maid aanvallen te beperken zouden ook van toepassing moeten zijn op Cold Boot aanvallen met enkele extra maatregelen:

• Als je besturingssysteem of encryptiesoftware het toelaat, zou je moeten overwegen om de sleutels ook in RAM te versleutelen (dit is mogelijk met Windows/Veracrypt en wordt later uitgelegd)
• Je moet het gebruik van Slaapstand beperken en in plaats daarvan Afsluiten of Slaapstand gebruiken om te voorkomen dat de versleutelingscodes in het RAM blijven als je computer in slaapstand gaat. De reden hiervoor is dat slaapstand de stroom naar je geheugen zal behouden om je activiteit sneller te hervatten. Alleen slaapstand en afsluiten wissen de sleutel uit het geheugen.

Zie ook https://www.whonix.org/wiki/Cold_Boot_Attack_Defense [Archive.org] en https://www.whonix.org/wiki/Protection_Against_Physical_Attacks [Archive.org].


Hier zijn ook een aantal interessante tools om te overwegen voor Linux gebruikers om zich hiertegen te verdedigen:

• https://github.com/0xPoly/Centry [Archive.org] (helaas niet onderhouden lijkt het, dus ik heb een fork gemaakt en een pull request bijgewerkt voor Veracrypt https://github.com/AnonymousPlanet/Centry [Archive.org] die nog steeds zou moeten werken)
• https://github.com/hephaest0s/usbkill [ Archive.org] (helaas ook niet onderhouden lijkt het)
• https://github.com/Lvl4Sword/Killer [ Archive.org].
• https://askubuntu.com/questions/153245/how-to-wipe-ram-on-shutdown-prevent-cold-boot-attacks [ Archive.org]
• (Qubes OS, alleen Intel CPU) https://github.com/QubesOS/qubes-antievilmaid [ Archive.org]

Over slapen, slaapstand en afsluiten.

Als je een betere beveiliging wilt, moet je je laptop volledig afsluiten elke keer dat je hem onbeheerd achterlaat of het deksel sluit. Dit zou het RAM-geheugen moeten opschonen en/of vrijgeven en zorgen voor mitigaties tegen cold boot aanvallen. Dit kan echter een beetje lastig zijn, omdat je dan helemaal opnieuw moet opstarten en een heleboel wachtwoorden in verschillende apps moet invoeren. Verschillende VM's en andere apps opnieuw opstarten. Dus in plaats daarvan zou je ook hibernation kunnen gebruiken (niet ondersteund op Qubes OS). Aangezien de hele schijf versleuteld is, zou de slaapstand op zich geen groot veiligheidsrisico moeten vormen, maar het zal toch je laptop afsluiten en het geheugen wissen, terwijl je daarna gemakkelijk je werk kunt hervatten. Wat je nooit moet doen is de standaard slaapstand gebruiken, waardoor je computer aan blijft en het geheugen blijft werken. Dit is een aanvalsvector tegen de eerder besproken evil-maid en cold-boot aanvallen. De reden hiervoor is dat uw ingeschakelde geheugen de encryptiesleutels van uw schijf bevat (versleuteld of niet) en dan toegankelijk zou kunnen zijn voor een ervaren tegenstander.


Deze gids zal later richtlijnen geven over hoe de slaapstand in te schakelen op verschillende host OSen (behalve Qubes OS) als je niet elke keer wilt afsluiten.

Lokale datalekken (sporen) en forensisch onderzoek.

Zoals eerder kort vermeld, zijn dit datalekken en sporen van je besturingssysteem en apps wanneer je een activiteit op je computer uitvoert. Deze zijn meestal van toepassing op versleutelde bestandscontainers (met of zonder plausibele ontkenning) dan OS-brede versleuteling. Zulke lekken zijn minder "belangrijk" als je hele besturingssysteem versleuteld is (als je niet gedwongen bent om het wachtwoord te onthullen).


Laten we bijvoorbeeld zeggen dat je een Veracrypt versleutelde USB-sleutel hebt met plausibele ontkenning ingeschakeld. Afhankelijk van het wachtwoord dat je gebruikt bij het mounten van de USB-sleutel, zal het een decoy map of de gevoelige map openen. Binnen die mappen heb je lokdocumenten/gegevens in de lokmap en gevoelige documenten/gegevens in de gevoelige map.


In alle gevallen zul je (hoogstwaarschijnlijk) deze mappen openen met Windows Verkenner, MacOS Finder of een ander hulpprogramma en doen wat je van plan was te doen. Misschien bewerk je een document in de gevoelige map. Misschien doorzoek je een document in de map. Misschien verwijder je een document of bekijk je een gevoelige video met VLC.


Al die apps en je besturingssysteem kunnen logs en sporen bijhouden van dat gebruik. Dit kan onder andere het volledige pad van de map/bestanden/schijven zijn, de tijd waarop deze werden geopend, tijdelijke caches van deze bestanden, de "recente" lijsten in elke app, het bestandsindexeringssysteem dat de schijf kan indexeren en zelfs miniaturen die kunnen worden gegenereerd.


Hier zijn enkele voorbeelden van zulke lekken:

Windows.

• Windows ShellBags die zijn opgeslagen in het Windows Register en die stilletjes verschillende geschiedenissen van geraadpleegde volumes/bestanden/mappen opslaan.
• Windows Indexering die standaard sporen bijhoudt van de bestanden die aanwezig zijn in je gebruikersmap.
• Recente lijsten (ook wel Jump Lists genoemd) in Windows en verschillende apps die sporen bijhouden van recent gebruikte documenten.
• Er zijn nog veel meer sporen in verschillende logboeken, zie deze handige interessante poster voor meer inzicht: https://www.sans.org/security-resources/posters/windows-forensic-analysis/170/download [Archive.org].

MacOS.

• Gatekeeper290 en XProtect houden je downloadgeschiedenis bij in een lokale database en bestandskenmerken.
• Spotlight indexering
• Recente lijsten in verschillende programma's die sporen bijhouden van recent gebruikte documenten.
• Tijdelijke mappen houden verschillende sporen bij van app- en documentgebruik.
• MacOS logboeken
• ...

Linux.

• Tracker-indexering
• Bash geschiedenis
• USB-logboeken
• Recente lijsten in verschillende apps die sporen bijhouden van recent geraadpleegde documenten.
• Linux logboeken
• ...

Forensisch onderzoek zou al deze lekken kunnen gebruiken (zie Lokale gegevenslekken en forensisch onderzoek) om het bestaan van verborgen gegevens aan te tonen en je pogingen tot plausibele ontkenning te verslaan en om achter je verschillende gevoelige activiteiten te komen.


Het is daarom belangrijk om verschillende stappen toe te passen om te voorkomen dat forensisch onderzoek dit doet door deze lekken/sporen te voorkomen en op te ruimen en, nog belangrijker, door gebruik te maken van volledige schijfversleuteling, virtualisatie en compartimentering.


Forensische onderzoekers kunnen geen lokale datalekken uit een OS halen waar ze geen toegang toe hebben. En je zult in staat zijn om de meeste van deze sporen op te ruimen door de schijf te wissen of door je virtuele machines veilig te wissen (wat niet zo eenvoudig is als je denkt op SSD schijven).


Sommige schoonmaaktechnieken zullen echter worden behandeld in het "Cover your Tracks" deel van deze gids helemaal aan het einde.

Online datalekken.

Of je nu eenvoudige versleuteling of plausibele ontkenning gebruikt. Zelfs als je je sporen hebt gewist op de computer zelf. Er bestaat nog steeds een risico op online datalekken die de aanwezigheid van verborgen gegevens kunnen onthullen.


Telemetrie is je vijand. Zoals eerder uitgelegd in deze gids, kan de telemetrie van besturingssystemen maar ook van apps duizelingwekkende hoeveelheden privégegevens online versturen.


In het geval van Windows kunnen deze gegevens bijvoorbeeld worden gebruikt om het bestaan van een verborgen OS / Volume op een computer aan te tonen en zijn ze direct beschikbaar bij Microsoft. Daarom is het van cruciaal belang dat je telemetrie uitschakelt en blokkeert met alle middelen die je tot je beschikking hebt. Het maakt niet uit welk besturingssysteem je gebruikt.

Conclusie.

Je moet nooit gevoelige activiteiten uitvoeren vanaf een niet-versleuteld systeem. En zelfs als het versleuteld is, moet je waarschijnlijk nooit gevoelige activiteiten uitvoeren vanaf het host-OS zelf. In plaats daarvan zou je een VM moeten gebruiken om je activiteiten efficiënt te kunnen isoleren en compartimenteren en lokale datalekken te voorkomen.


Als je weinig tot geen kennis hebt van Linux of als je OS brede plausibele ontkenning wilt gebruiken, zou ik aanraden om voor Windows te gaan (of terug naar de Tails route) voor het gemak. Deze gids zal je helpen om het zoveel mogelijk te harden om lekken te voorkomen. Deze gids zal je ook helpen om MacOS en Linux zoveel mogelijk te harden om soortgelijke lekken te voorkomen.


Als je geen interesse hebt in OS brede plausibele ontkenning en Linux wilt leren gebruiken, zou ik je sterk aanraden om voor Linux of de Qubes route te gaan als je hardware het toelaat.


In alle gevallen moet het host OS nooit gebruikt worden om direct gevoelige activiteiten uit te voeren. Het host OS wordt alleen gebruikt om verbinding te maken met een openbaar Wi-Fi Access Point. Het wordt ongebruikt gelaten terwijl je gevoelige activiteiten uitvoert en wordt idealiter niet gebruikt voor je dagelijkse activiteiten.


Overweeg ook om https://www.whonix.org/wiki/Full_Disk_Encryption#Encrypting_Whonix_VMs [Archive.org] te lezen.

 

[HEISENBERG]

Linux host OS.

Zoals eerder vermeld, raad ik niet aan om je dagelijkse laptop te gebruiken voor zeer gevoelige activiteiten. Of in ieder geval raad ik af om je in-place OS hiervoor te gebruiken. Dat kan leiden tot ongewenste datalekken die gebruikt kunnen worden om je te de-anonimiseren. Als je hiervoor een speciale laptop hebt, moet je een vers en schoon OS opnieuw installeren. Als je je laptop niet wilt wissen en opnieuw wilt beginnen, moet je de Tails-route overwegen of op eigen risico verder gaan.


Ik raad ook aan om de eerste installatie volledig offline te doen om een eventueel gegevenslek te voorkomen.


Je moet altijd onthouden dat ondanks de reputatie, Linux mainstream distributies (Ubuntu bijvoorbeeld) niet noodzakelijk beter zijn in beveiliging dan andere systemen zoals MacOS en Windows. Zie deze referentie om te begrijpen waarom https://madaidans-insecurities.github.io/linux.html [Archive.org].

Volledige schijfversleuteling.

Er zijn hier twee mogelijkheden met Ubuntu:

• (Aanbevolen en gemakkelijk) Versleutel als onderdeel van het installatieproces: https://ubuntu.com/tutorials/install-ubuntu-desktop [Archive.org]
  
  • Dit proces vereist het volledig wissen van je hele schijf (schone installatie).
  • Vink de optie "Versleutel de nieuwe Ubuntu-installatie voor beveiliging" aan.
• (Moeilijk maar mogelijk) Versleutel na installatie: https://help.ubuntu.com/community/ManualFullSystemEncryption [ Archive.org]

Voor andere distro's zul je zelf moeten documenteren, maar het zal waarschijnlijk vergelijkbaar zijn. Encryptie tijdens de installatie is gewoon veel eenvoudiger in de context van deze gids.

Verwerp/uitschakel telemetrie.

• Zorg er tijdens de installatie voor dat je geen gegevensverzameling toestaat als daarom wordt gevraagd.
• Als u het niet zeker weet, controleer dan of u geen telemetrie hebt ingeschakeld en volg indien nodig deze tutorial https://vitux.com/how-to-force-ubuntu-to-stop-collecting-your-data-from-your-pc/ [Archive.org].
• Elke andere distro: Je moet jezelf documenteren en uitzoeken hoe je telemetrie uitschakelt als die er is.

Schakel alles uit wat onnodig is.

• Schakel Bluetooth uit als deze is ingeschakeld door deze gids te volgen https://www.addictivetips.com/ubuntu-linux-tips/disable-bluetooth-in-ubuntu/ [Archive.org] of door het volgende commando uit te voeren:
  
  • sudo systemctl disable bluetooth.service --force
• Schakel Indexering uit als dit standaard is ingeschakeld (Ubuntu >19.04) door deze gids te volgen https://www.linuxuprising.com/2019/07/how-to-completely-disable-tracker.html [Archive.org] of door de volgende opdrachten uit te voeren:
  
  • sudo systemctl --user mask tracker-store.service tracker-miner-fs.service tracker-miner-rss.service tracker-extract.service tracker-miner-apps.service tracker-writeback.service
    
    • Je kunt veilig elke foutmelding negeren als er staat dat een bepaalde service niet bestaat
  • sudo tracker reset -hard

Slaapstand.

Zoals eerder uitgelegd, moet je de slaapfuncties niet gebruiken maar je laptop afsluiten of in slaapstand zetten om sommige evil-maid en cold-boot aanvallen te beperken. Helaas is deze functie standaard uitgeschakeld op veel Linux distro's waaronder Ubuntu. Het is mogelijk om het in te schakelen, maar het werkt misschien niet zoals verwacht. Volg deze informatie op eigen risico. Als je dit niet wilt doen, moet je nooit de slaapfunctie gebruiken en in plaats daarvan uitschakelen (en waarschijnlijk het sluitgedrag van het deksel instellen op uitschakelen in plaats van slapen).


Volg een van deze tutorials om de slaapstand in te schakelen:

• https://www.how2shout.com/linux/how-to-hibernate-ubuntu-20-04-lts-focal-fossa/ [Archive.org]
• http://www.lorenzobettini.it/2020/07/enabling-hibernation-on-ubuntu-20-04/ [Archive.org]
• https://blog.ivansmirnov.name/how-to-set-up-hibernate-on-ubuntu-20-04/ [Archive.org].

Nadat Slaapstand is ingeschakeld, verander je het gedrag zodat je laptop in slaapstand gaat wanneer je het deksel sluit door deze tutorial voor Ubuntu 20.04 http://ubuntuhandbook.org/index.php/2020/05/lid-close-behavior-ubuntu-20-04/ [Archive.org] en deze tutorial voor Ubuntu 18.04 https://tipsonubuntu.com/2018/04/28/change-lid-close-action-ubuntu-18-04-lts/ [ Archive.org] te volgen.


Helaas zal dit de sleutel niet direct uit het geheugen verwijderen tijdens de slaapstand. Om dit te vermijden ten koste van de prestaties, kun je overwegen om het wisselbestand te versleutelen door deze tutorial te volgen: https://help.ubuntu.com/community/EnableHibernateWithEncryptedSwap [ Archive.org]


Deze instellingen zouden cold boot aanvallen moeten beperken als je snel genoeg kunt overwinteren.

Schakel MAC-adres randomisatie in.

• Ubuntu, volg deze stappen https://help.ubuntu.com/community/AnonymizingNetworkMACAddresses [ Archive.org].
• Elke andere distro: je zult de documentatie zelf moeten vinden, maar het zou vergelijkbaar moeten zijn met de Ubuntu tutorial.
• Overweeg deze tutorial, die nog steeds zou moeten werken: https://josh.works/shell-script-basics-change-mac-address [Archive.org]

Linux hardenen.

Als een lichte introductie voor nieuwe Linux-gebruikers kun je het volgende overwegen

[Invidious]


Voor meer diepgaande en geavanceerde opties, zie:

• Deze uitstekende gids: https://madaidans-insecurities.github.io/guides/linux-hardening.html [Archive.org]
• Deze uitstekende wiki-bron: https://wiki.archlinux.org/title/Security [Archive.org]
• Deze uitstekende scripts gebaseerd op de gids en wiki hierboven: https://codeberg.org/SalamanderSecurity/PARSEC [ Archive.org]

Een veilige browser instellen.

Zie Bijlage G: Veilige browser op het host-OS

 

[HEISENBERG]

MacOS Host OS.

Opmerking: Op dit moment ondersteunt deze gids (nog) geen ARM M1 MacBooks. Dit komt doordat Virtualbox deze architectuur nog niet ondersteunt. Het zou echter wel mogelijk kunnen zijn als je commerciële tools zoals VMWare of Parallels gebruikt, maar die worden niet behandeld in deze gids.


Zoals eerder vermeld, raad ik niet aan om je dagelijkse laptop te gebruiken voor zeer gevoelige activiteiten. Of in ieder geval adviseer ik niet om je in-place OS hiervoor te gebruiken. Dat kan leiden tot ongewenste datalekken die gebruikt kunnen worden om je te de-anonimiseren. Als je hiervoor een speciale laptop hebt, moet je een vers en schoon OS opnieuw installeren. Als je je laptop niet wilt wissen en opnieuw wilt beginnen, moet je de Tails-route overwegen of op eigen risico verder gaan.


Ik raad je ook aan om de eerste installatie volledig offline uit te voeren om het lekken van gegevens te voorkomen.


Meld je nooit aan met je Apple account met die Mac.

Tijdens de installatie.

• Offline blijven
• Schakel alle verzoeken om gegevensuitwisseling uit wanneer daarom wordt gevraagd, inclusief locatieservices
• Meld u niet aan bij Apple
• Schakel Siri niet in

MacOS hardenen.

Overweeg als lichte introductie voor nieuwe MacOS-gebruikers

[Invidious]


Om dieper in te gaan op het beveiligen en hardenen van je MacOS, raad ik je aan deze GitHub gids te lezen, die veel van de problemen zou moeten behandelen: https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org].


Hier zijn de basisstappen die je zou moeten nemen na je offline installatie:

Firmware wachtwoord inschakelen met "disable-reset-capability" optie.

Eerst moet je een firmware wachtwoord instellen volgens deze gids van Apple: https://support.apple.com/en-us/HT204455 [Archive.org]


Helaas zijn er nog steeds aanvallen mogelijk en kan een tegenstander dit wachtwoord uitschakelen. Volg daarom ook deze handleiding om te voorkomen dat iemand, inclusief Apple, het firmware-wachtwoord uitschakelt: https://support.apple.com/en-gb/guide/security/sec28382c9ca/web [Archive. org].

Schakel de slaapstand in in plaats van de slaapstand.

Nogmaals, dit is om sommige cold-boot en evil-maid aanvallen te voorkomen door je RAM uit te schakelen en de coderingssleutel op te schonen wanneer je het deksel sluit. Je moet altijd óf de slaapstand óf de shutdown gebruiken. Op MacOS heeft de slaapstand functie zelfs een speciale optie om specifiek de encryptiesleutel uit het geheugen te wissen tijdens de slaapstand (terwijl je op andere besturingssystemen misschien moet wachten tot het geheugen is vervallen). Opnieuw zijn er geen eenvoudige opties om dit te doen binnen de instellingen, dus in plaats daarvan moeten we dit doen door een paar commando's uit te voeren om de slaapstand in te schakelen:

• Open een Terminal
• Start: sudo pmset -a destroyfvkeyonstandby 1
  
  • Dit commando zal MacOS instrueren om de Filevault sleutel te vernietigen op Standby (slaapstand)
• Start: sudo pmset -a hibernatemode 25
  
  • Dit commando zal MacOS instrueren om het geheugen uit te schakelen tijdens de slaapstand in plaats van een hybride slaapstand waarbij het geheugen aan blijft staan. Het zal resulteren in langzamer ontwaken, maar het zal de levensduur van de batterij verlengen.

Als je nu de klep van je MacBook sluit, zou hij in de slaapstand moeten gaan in plaats van in de slaapstand en pogingen om cold-boot aanvallen uit te voeren beperken.


Daarnaast moet je ook een automatische slaapstand instellen (Instellingen > Energie) zodat je MacBook automatisch in slaapstand gaat als je hem onbeheerd achterlaat.

Schakel onnodige diensten uit.

Schakel een aantal onnodige instellingen uit binnen de instellingen:

• Bluetooth uitschakelen
• Camera en microfoon uitschakelen
• Locatieservices uitschakelen
• Airdrop uitschakelen
• Indexering uitschakelen

Voorkom Apple OCSP-oproepen.

Dit zijn de beruchte "niet-blokkeerbare telemetrie" oproepen van MacOS Big Sur die hier worden onthuld: https://sneak.berlin/20201112/your-computer-isnt-yours/ [Archive.org].


U kunt de OCSP-rapportage blokkeren door het volgende commando in Terminal uit te voeren:

• sudo sh -c 'echo "127.0.0.1 ocsp.apple.com" >> /etc/hosts'.

Maar je moet jezelf waarschijnlijk eerst documenteren over het werkelijke probleem voordat je actie onderneemt. Deze pagina is een goede plek om te beginnen: https://blog.jacopo.io/en/post/apple-ocsp/ [Archive.org].


Aan jou de keuze. Ik zou het blokkeren omdat ik helemaal geen telemetrie van mijn OS naar het moederschip wil zonder mijn specifieke toestemming. Geen enkele.

Volledige schijfversleuteling inschakelen (Filevault).

Je moet volledige schijfversleuteling inschakelen op je Mac met Filevault volgens dit deel van de gids: https://github.com/drduh/macOS-Security-and-Privacy-Guide#full-disk-encryption [Archive.org].


Wees voorzichtig bij het inschakelen. Sla de herstelsleutel niet op bij Apple als daarom wordt gevraagd (dit zou geen probleem moeten zijn omdat je in dit stadium offline zou moeten zijn). Je wilt natuurlijk niet dat een derde partij je herstelsleutel heeft.

MAC-adres randomisatie.

Helaas biedt MacOS geen handige manier om je MAC-adres te randomiseren en dus moet je dit handmatig doen. Dit wordt gereset bij elke herstart en je moet het elke keer opnieuw doen om ervoor te zorgen dat je niet je werkelijke MAC-adres gebruikt wanneer je verbinding maakt met verschillende Wi-Fis.


Je kunt dit doen door de volgende commando's in terminal uit te voeren (zonder de haakjes):

• (Schakel de Wi-Fi uit) networksetup -setairportpower en0 off
• (Verander het MAC adres) sudo ifconfig en0 ether 88:63:11:11:11:11
• (Zet de Wi-Fi weer aan) networksetup -setairportpower en0 on

Een veilige browser instellen.

Zie Bijlage G: Veilige browser op het host OS

Windows host OS.

Zoals eerder vermeld, raad ik af om je dagelijkse laptop te gebruiken voor zeer gevoelige activiteiten. Of in ieder geval raad ik af om je in-place OS hiervoor te gebruiken. Dit kan leiden tot ongewenste datalekken die gebruikt kunnen worden om je te de-anonimiseren. Als je hiervoor een speciale laptop hebt, moet je een vers en schoon OS opnieuw installeren. Als je je laptop niet wilt wissen en opnieuw wilt beginnen, moet je de Tails-route overwegen of op eigen risico verder gaan.


Ik raad ook aan om de eerste installatie volledig offline te doen om een eventueel gegevenslek te voorkomen.

Installatie.

Volg Bijlage A: Windows Installatie


Als een lichte introductie, overweeg om te kijken naar

[Invidious]

Randomisatie van MAC-adres inschakelen.

Je moet je MAC-adres willekeurig maken zoals eerder in deze handleiding is uitgelegd:


Ga naar Instellingen > Netwerk en internet > Wi-Fi > Willekeurige hardwareadressen inschakelen


Je kunt ook deze gratis software gebruiken: https://technitium.com/tmac/ [Archive.org].

Een veilige browser instellen.

Zie Bijlage G: Veilige browser op het host-OS

Een aantal extra privacy-instellingen inschakelen op uw host-OS.

Zie Bijlage B: Extra privacy-instellingen voor Windows

Windows Host OS-versleuteling.

Als je van plan bent om systeembrede plausibele ontkenning te gebruiken.

Veracrypt is de software die ik zal aanbevelen voor volledige schijfversleuteling, bestandsversleuteling en plausibele ontkenning. Het is een fork van het bekende maar afgeschreven en onbeheerde TrueCrypt. Het kan gebruikt worden voor

• Eenvoudige versleuteling van een volledige schijf (je harde schijf wordt versleuteld met één wachtwoordzin).
• Volledige schijf versleuteling met plausibele ontkenning (dit betekent dat afhankelijk van de wachtwoordzin die bij het opstarten wordt ingevoerd, je ofwel een nep besturingssysteem of een verborgen besturingssysteem opstart).
• Bestandscontainer eenvoudige versleuteling (het is een groot bestand dat je binnen Veracrypt kunt mounten alsof het een externe schijf is om versleutelde bestanden in op te slaan).
• Bestandscontainer met plausibele ontkenning (het is hetzelfde grote bestand, maar afhankelijk van de wachtwoordzin die je gebruikt bij het mounten, mount je een "verborgen volume" of het "lokvolume").

Het is bij mijn weten de enige (handige en door iedereen te gebruiken) gratis, open-source en openlijk gecontroleerde encryptiesoftware die ook plausibele ontkenning biedt voor algemeen gebruik en het werkt met Windows Home Edition.


Ga je gang en download en installeer Veracrypt van: https://www.veracrypt.fr/en/Downloads.html [Archive.org].


Neem na de installatie even de tijd om de volgende opties te bekijken die helpen om sommige aanvallen af te zwakken:

• Versleutel het geheugen met een Veracrypt-optie (instellingen > prestatie/driver-opties > RAM versleutelen) ten koste van 5-15% prestatie. Deze instelling schakelt ook de slaapstand uit (waardoor de sleutel niet actief wordt gewist tijdens de slaapstand) en versleutelt in plaats daarvan het geheugen helemaal om sommige cold-boot aanvallen te beperken.
• Schakel de Veracrypt-optie in om de sleutels uit het geheugen te wissen als een nieuw apparaat wordt geplaatst (systeem > instellingen > beveiliging > sleutels uit geheugen wissen als een nieuw apparaat wordt geplaatst). Dit kan helpen als uw systeem in beslag wordt genomen terwijl het nog aan staat (maar vergrendeld is).
• Schakel de Veracrypt-optie in om volumes te mounten als verwisselbare volumes (Instellingen > Voorkeuren > Volume mounten als verwisselbare media). Dit zal voorkomen dat Windows een aantal logs schrijft over je mounts in de Event logs en voorkomt een aantal lokale datalekken.
• Wees voorzichtig en zorg voor een goed situationeel bewustzijn als je iets vreemds voelt. Sluit je laptop zo snel mogelijk af.
• Hoewel de nieuwere versies van Veracrypt Secure Boot ondersteunen, zou ik aanraden dit uit te schakelen in het BIOS, omdat ik de voorkeur geef aan het Veracrypt Anti-Evil Maid systeem boven Secure Boot.

Als je geen versleuteld geheugen wilt gebruiken (omdat prestaties een probleem kunnen zijn), moet je op zijn minst slaapstand inschakelen in plaats van slaapstand. Dit zal de sleutels niet uit het geheugen wissen (je bent nog steeds kwetsbaar voor cold boot aanvallen), maar zou ze op zijn minst enigszins moeten beperken als je geheugen genoeg tijd heeft om te vervallen.


Meer details later in Route A en B: Eenvoudige encryptie met Veracrypt (Windows tutorial).

Als je niet van plan bent om systeembrede plausibele ontkenning te gebruiken.

In dit geval zal ik het gebruik van BitLocker aanraden in plaats van Veracrypt voor de volledige schijfversleuteling. De redenering is dat BitLocker geen plausibele ontkenningsmogelijkheid biedt in tegenstelling tot Veracrypt. Een harde tegenstander heeft dan geen reden om zijn "versterkte" ondervraging voort te zetten als je de wachtwoordzin onthult.


Normaal gesproken zou je in dit geval Windows Pro geïnstalleerd moeten hebben en de installatie van BitLocker is vrij eenvoudig.


In principe kun je de instructies hier volgen: https://support.microsoft.com/en-us...cryption-0c453637-bc88-5f74-5105-741561aae838 [Archive.org].


Maar dit zijn de stappen:

• Klik op het Windows-menu
• Typ "Bitlocker".
• Klik op "Bitlocker beheren
• Klik op "Bitlocker inschakelen" op uw systeemstation
• Volg de instructies
  
  • Sla uw herstelsleutel niet op in een Microsoft-account als daarom wordt gevraagd.
  • Sla de herstelsleutel alleen op een externe versleutelde schijf op. Om dit te omzeilen, drukt u de herstelsleutel af met de Microsoft Print to PDF-printer en slaat u de sleutel op in de map Documenten.
  • Versleutel de hele schijf (versleutel niet alleen de gebruikte schijfruimte).
  • Gebruik "Nieuwe coderingsmodus".
  • Voer de BitLocker-controle uit
  • Start opnieuw op.
• De versleuteling moet nu op de achtergrond worden gestart (u kunt dit controleren door op het Bitlocker-pictogram rechtsonder in de taakbalk te klikken).

Slaapstand inschakelen (optioneel).

Nogmaals, zoals eerder uitgelegd. U moet nooit de slaapstand gebruiken om sommige cold-boot en evil-maid aanvallen te voorkomen. In plaats daarvan moet je je laptop uitschakelen of in slaapstand zetten. Je moet dus je laptop omschakelen van slapen naar slaapstand wanneer je het deksel sluit of wanneer je laptop gaat slapen.


(Merk op dat je de slaapstand niet kunt inschakelen als je eerder RAM-encryptie hebt ingeschakeld binnen Veracrypt)


De reden hiervoor is dat de slaapstand je laptop volledig afsluit en het geheugen opschoont. Slaapstand daarentegen laat het geheugen ingeschakeld (inclusief uw ontcijferingssleutel) en kan uw laptop kwetsbaar maken voor cold-boot aanvallen.


Windows 10 biedt deze mogelijkheid standaard niet, dus je moet het inschakelen door deze Microsoft-handleiding te volgen: https://docs.microsoft.com/en-us/tr.../deployment/disable-and-re-enable-hibernation [Archive.org].

• Open een opdrachtprompt voor beheerders (klik met de rechtermuisknop op Opdrachtprompt en "Uitvoeren als beheerder")
• Voer uit: powercfg.exe /hibernate on
• Voer nu de extra opdracht uit: **powercfg /h /type full**
  
  • Dit commando zal ervoor zorgen dat je slaapstand vol is en zal het geheugen volledig opschonen (niet veilig tho).

Daarna moet je naar je energie-instellingen gaan:

• Open het Configuratiescherm
• Open Systeem & beveiliging
• Open Energie-opties
• Open "Kiezen wat de aan/uit-knop doet".
• Verander alles van slaapstand naar slaapstand of uitschakelen
• Ga terug naar de energie-opties
• Selecteer Planinstellingen wijzigen
• Selecteer Geavanceerde energie-instellingen
• Wijzig alle slaapwaarden voor elk energieplan in 0 (nooit)
• Zorg ervoor dat Hybrid Sleep is uitgeschakeld voor elk Power Plan
• Schakel Slaapstand in na de gewenste tijd
• Schakel alle wektimers uit

Beslissen welke subroute je gaat nemen.

Nu moet je je volgende stap kiezen tussen twee opties:

• Route A: Eenvoudige versleuteling van je huidige OS
  
  • Voordelen:
    
    • Je hoeft je laptop niet te wissen
    • Geen probleem met lokale datalekken
    • Werkt prima met een SSD-schijf
    • Werkt met elk besturingssysteem
    • Eenvoudig
  • Nadelen:
    
    • Je kunt door een tegenstander gedwongen worden om je wachtwoord en al je geheimen te onthullen en hebt geen plausibele ontkenning.
    • Gevaar van online lekken van gegevens
• Route B: Eenvoudige versleuteling van je huidige OS met later gebruik van plausibele ontkenning op de bestanden zelf:
  
  • Voordelen:
    
    • Hoeft je laptop niet te wissen
    • Werkt prima met een SSD-schijf
    • Werkt met elk besturingssysteem
    • Plausibele ontkenning mogelijk bij "zachte" tegenstanders
  • Nadelen:
    
    • Gevaar van online datalekken
    • Gevaar van lokale datalekken (dat leidt tot meer werk om die lekken op te ruimen)
• Route C: Plausibele ontkenning Versleuteling van je besturingssysteem (je hebt een "verborgen besturingssysteem" en een "lokbesturingssysteem" op de laptop draaien):
  
  • Voordelen:
    
    • Geen problemen met lokale datalekken
    • Plausibele ontkenning mogelijk met "zachte" tegenstanders
  • Nadelen:
    
    • Windows vereist (deze functie wordt niet "gemakkelijk" ondersteund op Linux).
    • Gevaar van online datalekken
    • Vereist volledig wissen van je laptop
    • Geen gebruik met een SSD-schijf vanwege de vereiste om Trim Operations uit te schakelen. Dit zal de prestaties/gezondheid van je SSD-schijf na verloop van tijd ernstig verslechteren.

Zoals je kunt zien, biedt Route C slechts twee privacy voordelen ten opzichte van de anderen en het zal alleen van nut zijn tegen een zachte legale tegenstander. Denk aan https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org].


Het is aan jou om te beslissen welke route je neemt. Route A is een minimum.


Controleer altijd regelmatig of er nieuwe versies van Veracrypt zijn, zodat u kunt profiteren van de nieuwste patches. Controleer dit vooral voordat je grote Windows updates toepast die de Veracrypt bootloader kunnen breken en je in een opstartlus kunnen sturen.


LET OP DAT VERACRYPT DEFAULT ALTIJD EEN SYSTEEMWACHTWOORD IN QWERTY zal VOORSTELLEN (het wachtwoord als test weergeven). Dit kan problemen veroorzaken als je bij het opstarten het toetsenbord van je laptop gebruikt (AZERTY bijvoorbeeld), omdat je je wachtwoord in QWERTY hebt ingesteld en het bij het opstarten in AZERTY invoert. Zorg er dus voor dat je tijdens de test boot controleert welke toetsenbordindeling je BIOS gebruikt. Het kan zijn dat je niet inlogt vanwege de QWERTY/AZERTY verwisseling. Als je BIOS opstart met AZERTY, moet je het wachtwoord in QWERTY typen in Veracrypt.

Route A en B: Eenvoudige versleuteling met Veracrypt (Windows-handleiding)

Sla deze stap over als u eerder BitLocker hebt gebruikt.


U hoeft geen HDD te hebben voor deze methode en u hoeft Trim niet uit te schakelen op deze route. Het lekken van Trim is alleen nuttig voor forensisch onderzoek bij het detecteren van de aanwezigheid van een verborgen volume, maar heeft verder niet veel nut.


Deze route is vrij eenvoudig en zal alleen je huidige besturingssysteem versleutelen zonder gegevens te verliezen. Zorg ervoor dat je alle teksten leest die Veracrypt je laat zien, zodat je volledig begrijpt wat er aan de hand is.

• Start VeraCrypt
• Ga naar Instellingen:
  
  • Instellingen > Prestaties/stuurprogramma-opties > RAM coderen
  • Systeem > Instellingen > Beveiliging > Wis sleutels uit geheugen als nieuw apparaat wordt geplaatst
  • Systeem > Instellingen > Windows > Beveiligd bureaublad inschakelen
• Selecteer Systeem
• Selecteer Systeempartitie/schijf coderen
• Selecteer Normaal (Eenvoudig)
• Selecteer Enkele opstart
• Selecteer AES als coderingsalgoritme (klik op de testknop als je de snelheden wilt vergelijken)
• Selecteer SHA-512 als hash-algoritme (omdat waarom niet)
• Voer een sterke wachtwoordzin in (hoe langer hoe beter, denk aan Bijlage A2: Richtlijnen voor wachtwoorden en wachtwoordzinnen)
• Verzamel wat entropie door je cursor willekeurig rond te bewegen totdat de balk vol is
• Klik op Volgende in het scherm Gegenereerde sleutels
• Schijf redden of geen schijf redden, dat is aan jou. Ik raad aan om er een te maken (voor het geval dat), maar zorg ervoor dat je het buiten je versleutelde schijf bewaart (USB-sleutel bijvoorbeeld, of wacht en zie het einde van deze gids voor richtlijnen over veilige back-ups). Deze rescue disk zal je wachtwoordzin niet opslaan en je hebt hem nog steeds nodig om hem te gebruiken.
• Wismodus:
  
  • Als je nog geen gevoelige gegevens op deze laptop hebt, selecteer dan Geen.
  • Als je gevoelige gegevens op een SSD hebt, zou Trim alleen hiervoor moeten zorgen, maar ik zou voor de zekerheid 1 keer aanraden (willekeurige gegevens).
  • Als je gevoelige gegevens op een HDD hebt, is er geen Trim en zou ik ten minste 1-pass aanraden.
• Test je installatie. Veracrypt zal nu je systeem herstarten om de bootloader te testen voor de encryptie. Deze test moet slagen om de versleuteling door te laten gaan.
• Nadat je computer opnieuw is opgestart en de test is geslaagd. Veracrypt zal je vragen om het versleutelingsproces te starten.
• Start de versleuteling en wacht tot deze is voltooid.
• Je bent klaar, sla Route B over en ga naar de volgende stappen.

Er komt nog een gedeelte over het maken van versleutelde bestandscontainers met Plausible Deniability op Windows.

Route B: Plausibele Deniability-codering met een verborgen besturingssysteem (alleen Windows)

Dit wordt alleen ondersteund op Windows.


Dit wordt alleen aanbevolen op een HDD-schijf. Dit wordt niet aanbevolen op een SSD-schijf.


Je verborgen besturingssysteem mag niet worden geactiveerd (met een MS-productsleutel). Daarom wordt in deze route een volledige schone installatie aanbevolen en begeleid, waarbij alles op je laptop wordt gewist.


Lees de Veracrypt-documentatie https://www.veracrypt.fr/en/VeraCrypt Verborgen besturingssysteem.html [Archive.org] (Proces voor het maken van een verborgen besturingssysteem) en https://www.veracrypt.fr/en/Security Vereisten voor verborgen volumes.html [Archive.org] (Beveiligingsvereisten en voorzorgsmaatregelen met betrekking tot verborgen volumes).


Dit is hoe je systeem eruit zal zien nadat dit proces is voltooid:

(Illustratie uit Veracrypt-documentatie, https://veracrypt.fr/en/VeraCrypt Verborgen besturingssysteem.html [Archive.org])


Zoals je kunt zien vereist dit proces dat je vanaf het begin twee partities op je harde schijf hebt.


Dit proces zal het volgende doen:

• Je tweede partitie versleutelen (het buitenste volume) die eruit zal zien als een lege ongeformatteerde schijf van het lokaas-besturingssysteem.
• Je krijgt de mogelijkheid om wat lokinhoud te kopiëren naar het buitenste volume.
  
  • Hier kopieer je je nep-animatie/ pornocollectie van een externe harde schijf naar het buitenste volume.
• Maak een verborgen volume binnen het buitenste volume van die tweede partitie. Dit is waar het verborgen besturingssysteem zich zal bevinden.
• Kloon je huidige Windows 10-installatie op het verborgen volume.
• Wis je huidige Windows 10-installatie.
• Dit betekent dat je huidige Windows 10 de verborgen Windows 10 wordt en dat je een nieuw lok-Windows 10 OS opnieuw moet installeren.

Verplicht als je een SSD schijf hebt en je dit toch wilt doen tegen de aanbeveling in: Schakel SSD Trim uit in Windows (nogmaals dit is helemaal NIET aanbevolen omdat het uitschakelen van Trim op zich al zeer verdacht is).Ook zoals eerder vermeld, zal het uitschakelen van Trim de levensduur van je SSD-schijf verkorten en de prestaties ervan na verloop van tijd aanzienlijk beïnvloeden (je laptop zal gedurende enkele maanden van gebruik steeds langzamer worden totdat hij bijna onbruikbaar wordt, je zult dan de schijf moeten schoonmaken en alles opnieuw moeten installeren). Maar je moet het doen om datalekken te voorkomen waardoor forensisch onderzoek je plausibele ontkenning kan verslaan. De enige manier om dit op dit moment te omzeilen is een laptop met een klassieke HDD-schijf.

 

[HEISENBERG]

Stap 1: Een Windows 10 installatie-USB-sleutel maken

Zie Bijlage C: Windows installatiemedia maken en ga voor de USB-sleutelroute.

Stap 2: Start de USB-sleutel op en start het installatieproces van Windows 10 (verborgen besturingssysteem)

• Plaats de USB-stick in uw laptop
• Zie Bijlage A: Windows-installatie en ga verder met het installeren van Windows 10 Home.

Stap 3: Privacy-instellingen (Verborgen OS)

Zie Bijlage B: Extra privacy-instellingen van Windows

Stap 4: Veracrypt installeren en coderingsproces starten (Verborgen besturingssysteem)

Vergeet niet https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org] te lezen.


Verbind dit besturingssysteem niet met je bekende Wi-Fi. Je moet het Veracrypt-installatieprogramma downloaden vanaf een andere computer en het installatieprogramma hierheen kopiëren met behulp van een USB-sleutel.

• Veracrypt installeren
• Start Veracrypt
• Ga naar Instellingen:
  
  • Instellingen > Prestaties/Besturingsopties > RAM versleutelen(merk op dat deze optie niet compatibel is met de slaapstand van je laptop en betekent dat je je laptop volledig moet afsluiten)
  • Systeem > Instellingen > Beveiliging > Wis sleutels uit geheugen als nieuw apparaat wordt geplaatst
  • Systeem > Instellingen > Windows > Veilig bureaublad inschakelen
• Ga naar Systeem en selecteer Verborgen besturingssysteem maken
• Lees alle aanwijzingen grondig
• Selecteer Single-Boot indien gevraagd
• Maak het buitenvolume met AES en SHA-512.
• Gebruik alle beschikbare ruimte op de tweede partitie voor het buitenvolume
• Gebruik een sterke wachtwoordzin (denk aan Bijlage A2: Richtlijnen voor wachtwoorden en wachtwoordzinnen)
• Selecteer ja voor grote bestanden
• Creëer wat Entropie door de muis te bewegen tot de balk vol is en selecteer NTFS (selecteer geen exFAT omdat we willen dat dit buitenvolume er "normaal" uitziet en NTFS is normaal).
• Het buitenvolume formatteren
• Open het buitenste volume:
  
  • In dit stadium moet je lokgegevens kopiëren naar het buitenste volume. Je zou dus enkele gevoelige maar niet zo gevoelige bestanden/mappen moeten hebben om daarheen te kopiëren. Voor het geval je een wachtwoord voor dit volume moet onthullen. Dit is een goede plaats voor je Anime/Mp3/Films/Porno collectie.
  • Ik raad je aan om het buitenste volume niet te vol of te klein te maken (ongeveer 40%). Vergeet niet dat je genoeg ruimte moet overlaten voor het verborgen besturingssysteem (dat even groot zal zijn als de eerste partitie die je tijdens de installatie hebt gemaakt).
• Gebruik een sterke wachtwoordzin voor het verborgen volume (uiteraard een andere dan die voor het buitenste volume).
• Nu ga je het verborgen volume maken, selecteer AES en SHA-512
• Vul de entropiebalk tot het einde met willekeurige muisbewegingen
• Formatteer het verborgen volume
• Ga verder met het klonen
• Veracrypt start nu opnieuw op en kloont het Windows waarmee je dit proces bent begonnen naar het verborgen volume. Dit Windows wordt je verborgen besturingssysteem.
• Wanneer het klonen is voltooid, zal Veracrypt opnieuw opstarten in het verborgen systeem.
• Veracrypt informeert je dat het verborgen systeem nu is geïnstalleerd en vraagt je vervolgens om het originele besturingssysteem te wissen (het besturingssysteem dat je eerder hebt geïnstalleerd met de USB-sleutel).
• Gebruik 1-Pass Wipe en ga verder.
• Nu is je verborgen besturingssysteem geïnstalleerd, ga verder met de volgende stap

Stap 5: Start de USB-sleutel opnieuw op en start het installatieproces van Windows 10 opnieuw (Decoy OS)

Nu het verborgen besturingssysteem volledig is geïnstalleerd, moet je een Decoy OS installeren.

• Plaats de USB-sleutel in je laptop
• Zie Bijlage A: Windows-installatie en ga verder met het opnieuw installeren van Windows 10 Home (installeer geen andere versie en blijf bij Home).

Stap 6: Privacy-instellingen (Decoy OS)

Zie Bijlage B: Extra privacy-instellingen van Windows

Stap 7: Veracrypt installeren en coderingsproces starten (Decoy OS)

Nu gaan we het Decoy OS versleutelen:

• Veracrypt installeren
• Start VeraCrypt
• Selecteer Systeem
• Selecteer Systeempartitie/schijf coderen
• Selecteer Normaal (Eenvoudig)
• Selecteer Enkele opstart
• Selecteer AES als coderingsalgoritme (klik op de testknop als je de snelheden wilt vergelijken)
• Selecteer SHA-512 als hash-algoritme (omdat waarom niet)
• Voer een kort zwak wachtwoord in (ja dit is serieus, doe het, het wordt later uitgelegd).
• Verzamel wat entropie door je cursor willekeurig rond te bewegen totdat de balk vol is
• Klik op Volgende in het scherm Gegenereerde sleutels
• Schijf redden of geen schijf redden, dat is aan jou. Ik raad aan om er een te maken (voor het geval dat), maar zorg ervoor dat je het buiten je versleutelde schijf bewaart (USB-sleutel bijvoorbeeld, of wacht en zie het einde van deze gids voor richtlijnen over veilige back-ups). Deze rescue disk zal je wachtwoordzin niet opslaan en je hebt hem nog steeds nodig om hem te gebruiken.
• Wismodus: Selecteer voor de zekerheid 1-Pass
• Test uw installatie vooraf. Veracrypt zal nu je systeem herstarten om de bootloader te testen voor de encryptie. Deze test moet slagen om de versleuteling door te laten gaan.
• Nadat uw computer opnieuw is opgestart en de test is geslaagd. Veracrypt zal je vragen om het versleutelingsproces te starten.
• Start de versleuteling en wacht tot deze is voltooid.
• Je Decoy OS is nu klaar voor gebruik.

Stap 8: Test uw installatie (Beide opstarten)

Tijd om je installatie te testen.

• Start opnieuw op en voer de wachtwoordzin van je Hidden OS in, je zou nu moeten opstarten in het Hidden OS.
• Start opnieuw op en voer de wachtwoordzin van je Decoy OS in, je zou moeten opstarten in het Decoy OS.
• Start Veracrypt op het Decoy OS en koppel de tweede partitie met de Outer Volume Passphrase (koppel het als alleen-lezen, door naar Mount Options te gaan en Read-Only te selecteren) en het zou de tweede partitie moeten koppelen als alleen-lezen met je lokgegevens (je Anime/Pornocollectie). Je mounteert de partitie nu als alleen-lezen omdat als je er gegevens op zou schrijven, je de inhoud van je verborgen OS zou kunnen overschrijven.

Stap 9: De lokgegevens op je buitenste volume veilig wijzigen

Voordat je naar de volgende stap gaat, moet je leren hoe je je externe volume veilig kunt mounten om er inhoud op te schrijven. Dit wordt ook uitgelegd in deze officiële Veracrypt-documentatie https://www.veracrypt.fr/en/Protection of Hidden Volumes.html [Archive.org].


Je moet dit doen vanaf een veilige, vertrouwde plek.


In principe mount je je Outer Volume terwijl je ook de wachtwoordzin voor het verborgen volume opgeeft in de Mount Options om te voorkomen dat het verborgen volume wordt overschreven. Veracrypt staat je dan toe om gegevens naar het buitenste volume te schrijven zonder het risico te lopen dat gegevens op het verborgen volume worden overschreven.


Deze bewerking koppelt het verborgen volume niet daadwerkelijk en zou moeten voorkomen dat er forensisch bewijsmateriaal wordt gemaakt dat kan leiden tot de ontdekking van het verborgen besturingssysteem. Terwijl u deze handeling uitvoert, worden beide wachtwoorden echter opgeslagen in uw RAM en daarom kunt u nog steeds vatbaar zijn voor een Cold-Boot-aanval. Om dit te beperken, moet je de optie hebben om je RAM-geheugen ook te versleutelen.

• Open Veracrypt
• Selecteer je tweede partitie
• Klik Mount
• Klik op Mount Options
• Vink de optie "Het verborgen volume beschermen..." aan. Optie
• Voer de wachtwoordzin voor het verborgen OS in
• Klik op OK
• Voer de wachtwoordzin voor het buitenste volume in
• Klik op OK
• Je zou nu in staat moeten zijn om je Buitenste volume te openen en ernaar te schrijven om de inhoud te wijzigen (kopiëren/verplaatsen/verwijderen/bewerken...)

Stap 10: Laat wat forensisch bewijs van je buitenste volume (met de lokgegevens) achter in je Decoy OS

We moeten het Decoy OS zo aannemelijk mogelijk maken. We willen ook dat je tegenstander denkt dat je niet zo slim bent.


Daarom is het belangrijk om vrijwillig wat forensisch bewijs van je Decoy-content achter te laten in je Decoy OS. Met dit bewijs kunnen forensische onderzoekers zien dat je je Buitenste Volume vaak hebt aangekoppeld om toegang te krijgen tot de inhoud.


Hier zijn goede tips om forensisch bewijs achter te laten:

• Speel de inhoud van de Outer Volume af vanuit je Decoy OS (bijvoorbeeld met VLC). Zorg ervoor dat je daar een geschiedenis van bijhoudt.
• Bewerk documenten en werk erin.
• Schakel bestandsindexering weer in op het Decoy OS en koppel het gemounte externe volume eraan.
• Ontkoppel het en koppel het regelmatig aan om wat inhoud te bekijken.
• Kopieer wat inhoud van je buitenste volume naar je Decoy OS en verwijder het dan op een onveilige manier (stop het gewoon in de prullenbak).
• Laat een Torrent-client installeren op je Decoy OS en gebruik deze van tijd tot tijd om soortgelijke dingen te downloaden die je op je Decoy OS achterlaat.
• Je zou een VPN-client kunnen installeren op het Decoy OS met een bekende VPN van jou (niet-betaald).

Zet niets verdachts op het Decoy OS zoals:

• Deze gids
• Alle links naar deze handleiding
• Verdachte anonimiteitssoftware zoals Tor Browser

Opmerkingen.

Onthoud dat je geldige excuses nodig hebt om dit plausibele ontkenningsscenario te laten werken:


Neem de tijd om de "Mogelijke verklaringen voor het bestaan van twee Veracrypt-partities op één schijf" van de Veracrypt-documentatie hier https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org] nog eens door te lezen.

• Je gebruikt Veracrypt omdat je Windows 10 Home gebruikt dat niet over Bitlocker beschikt maar toch privacy wilde.
• Je hebt twee partities omdat je het systeem en de gegevens wilde scheiden voor eenvoudige organisatie en omdat een bevriende nerd je vertelde dat dit beter was voor de prestaties.
• Je hebt een zwak wachtwoord gebruikt voor gemakkelijk opstarten op het Systeem en een sterke lange wachtwoordzin op het Buitenste Volume omdat je te lui was om een sterke wachtwoordzin te typen bij elke opstart.
• Je hebt de tweede Partitie versleuteld met een ander wachtwoord dan het Systeem omdat je niet wilt dat iemand in je entourage je spullen kan zien. En dus wilde je niet dat die gegevens voor iedereen beschikbaar waren.

Wees voorzichtig:

• Je moet het Verborgen Volume nooit mounten vanuit het Decoy OS (NOOIT). Als je dit doet, zal dit forensisch bewijs van het verborgen volume binnen het Decoy OS creëren dat je poging tot plausibele ontkenning in gevaar kan brengen. Als je dit toch hebt gedaan (opzettelijk of per ongeluk) vanuit het Decoy OS, zijn er manieren om forensisch bewijs te wissen die later aan het einde van deze handleiding worden uitgelegd.
• Gebruik het Decoy OS nooit vanaf hetzelfde netwerk (openbare Wi-Fi) als het Hidden OS.
• Wanneer je het buitenste volume koppelt vanuit het Decoy OS, schrijf dan geen gegevens op het buitenste volume omdat dit de lege ruimte kan overschrijven die in feite je verborgen OS is. Je moet het altijd als alleen-lezen mounten.
• Als je de Decoy-inhoud van het buitenste volume wilt wijzigen, moet je een Live OS USB-sleutel gebruiken waarop Veracrypt wordt uitgevoerd.
• Merk op dat je het Hidden OS niet zult gebruiken om gevoelige activiteiten uit te voeren, dit zal later worden gedaan vanuit een VM binnen het Hidden OS. Het verborgen besturingssysteem is alleen bedoeld om je te beschermen tegen een zachte tegenstander die toegang zou kunnen krijgen tot je laptop en je zou kunnen dwingen je wachtwoord te onthullen.
• Wees voorzichtig met het knoeien met je laptop. Evil-Maid-aanvallen kunnen je verborgen OS onthullen.

 

[HEISENBERG]

Virtualbox op uw Host OS.

Denk aan Appendix W: Virtualisatie.


Deze stap en de volgende stappen moeten worden uitgevoerd vanuit het Host OS. Dit kan je Host OS zijn met eenvoudige encryptie (Windows/Linux/MacOS) of je Hidden OS met plausibele ontkenning (alleen Windows).


In deze route maken we uitgebreid gebruik van de gratis Oracle Virtualbox software. Dit is virtualisatiesoftware waarmee je virtuele machines kunt maken die een computer emuleren waarop een specifiek besturingssysteem draait (als je iets anders wilt gebruiken zoals Xen, Qemu, KVM of VMWARE, voel je vrij om dat te doen, maar dit deel van de handleiding gaat voor het gemak alleen over Virtualbox).


Dus, je moet je ervan bewust zijn dat Virtualbox niet de virtualisatie software is met de beste staat van dienst in termen van veiligheid en sommige van de gerapporteerde problemen zijn nog niet volledig opgelost tot op heden en als je Linux gebruikt met een beetje meer technische vaardigheden, kun je overwegen om KVM te gebruiken in plaats daarvan door de gids te volgen die beschikbaar is op Whonix hier https://www.whonix.org/wiki/KVM [Archive.org] en hier https://www.whonix.org/wiki/KVM#Why_Use_KVM_Over_VirtualBox.3F [Archive.org].


In alle gevallen moeten er enkele stappen worden genomen:


Al je gevoelige activiteiten worden uitgevoerd vanuit een gast Virtuele Machine met Windows 10 Pro (deze keer niet Home), Linux of MacOS.


Dit heeft een paar voordelen die je enorm helpen om anoniem te blijven:

• Het zou moeten voorkomen dat het gast-VM OS (Windows/Linux/MacOS), apps en telemetrie binnen de VM's rechtstreeks toegang hebben tot je hardware. Zelfs als je VM gecompromitteerd is door malware, zou deze malware niet in staat moeten zijn om de VM te bereiken en je eigenlijke laptop te compromitteren.
• Het zal ons in staat stellen om al het netwerkverkeer van je client VM te dwingen om via een andere Gateway VM te lopen die al het verkeer naar het Tor Netwerk zal leiden (torificeren). Dit is een netwerk "kill switch". Je VM verliest zijn netwerkconnectiviteit volledig en gaat offline als de andere VM zijn verbinding met het Tor Netwerk verliest.
• De VM zelf die alleen internetverbinding heeft via een Tor Netwerk Gateway zal verbinding maken met je cash betaalde VPN service via Tor.
• DNS Leaks zullen onmogelijk zijn omdat de VM op een geïsoleerd netwerk zit dat hoe dan ook via Tor moet gaan.

 

[HEISENBERG]

Kies je verbindingsmethode.

Er zijn 7 mogelijkheden binnen deze route:

• Aanbevolen en voorkeur:
  
  • Gebruik Tor alleen (Gebruiker > Tor > Internet)
  • Gebruik VPN over Tor (Gebruiker > Tor > VPN > Internet) in specifieke gevallen.
• Mogelijk indien vereist door context:
  
  • Gebruik VPN over Tor over VPN (Gebruiker > VPN > Tor > VPN > Internet)
  • Gebruik Tor over VPN (Gebruiker > VPN > Tor > Internet)
• Niet aanbevolen en riskant:
  
  • Gebruik VPN alleen (Gebruiker > VPN > Internet)
  • Gebruik VPN over VPN (Gebruiker > VPN > VPN > Internet)
• Niet aanbevolen en zeer riskant (maar mogelijk)
  
  • Geen VPN en geen Tor (Gebruiker > Internet)

Alleen Tor.

Dit is de beste en meest aanbevolen oplossing.

Met deze oplossing gaat al je netwerk door Tor en het zou in de meeste gevallen voldoende moeten zijn om je anonimiteit te garanderen.


Er is echter één groot nadeel: Sommige services blokkeren/bannen Tor Exit nodes en staan geen accountcreatie toe.


Om dit te beperken, zou je de volgende optie kunnen overwegen: VPN over Tor, maar houd rekening met enkele risico's die hieraan verbonden zijn, zoals uitgelegd in de volgende sectie.

VPN/Proxy over Tor.

Deze oplossing kan in sommige specifieke gevallen voordelen bieden ten opzichte van het gebruik van alleen Tor waarbij toegang tot de doeldienst onmogelijk zou zijn vanaf een Tor Exit knooppunt. Dit komt omdat veel diensten Tor gewoon verbieden, hinderen of blokkeren ( zie https://gitlab.torproject.org/legacy/trac/-/wikis/org/doc/ListOfServicesBlockingTor [Archive.org]).


Zoals je kunt zien in deze illustratie, als je cash (voorkeur)/Monero betaalde VPN/Proxy gecompromitteerd wordt door een tegenstander (ondanks hun privacy verklaring en no-logging beleid), zullen ze alleen een anonieme cash/Monero betaalde VPN/Proxy account vinden die verbinding maakt met hun diensten vanaf een Tor Exit knooppunt.

Als een tegenstander er op de een of andere manier in slaagt om ook het Tor netwerk te compromitteren, zullen ze alleen het IP van een willekeurige openbare Wi-Fi onthullen die niet gebonden is aan jouw identiteit.


Als een tegenstander op de een of andere manier je VM OS compromitteert (bijvoorbeeld met malware of een exploit), zullen ze gevangen zitten binnen het interne netwerk van Whonix en niet in staat zijn om het IP van de openbare Wi-Fi te onthullen.


Deze oplossing heeft echter een belangrijk nadeel om rekening mee te houden: Interferentie met Tor Stream Isolatie.


Stream isolatie is een mitigatie techniek die gebruikt wordt om sommige correlatie aanvallen te voorkomen door verschillende Tor Circuits te hebben voor elke applicatie. Hier is een illustratie om te laten zien wat stream isolatie is:

(Illustratie van Marcelo Martins, https://stakey.club/en/decred-via-tor-network/ [Archive.org])


VPN/Proxy over Tor valt aan de rechterkant wat betekent dat het gebruik van een VPN/Proxy over Tor Tor dwingt om één circuit te gebruiken voor alle activiteiten in plaats van meerdere circuits voor elk. Dit betekent dat het gebruik van een VPN/Proxy over Tor de effectiviteit van Tor in sommige gevallen enigszins kan verminderen en daarom alleen gebruikt zou moeten worden voor enkele specifieke gevallen:

• Wanneer je bestemmingsservice geen Tor Exit nodes toestaat.
• Wanneer je het niet erg vindt om een gedeeld Tor circuit te gebruiken voor verschillende services. Zoals bijvoorbeeld voor het gebruik van verschillende geauthenticeerde services.

Je zou echter moeten overwegen om deze methode niet te gebruiken wanneer je doel alleen is om willekeurig verschillende ongeauthenticeerde websites te browsen, omdat je dan geen voordeel hebt van Stream Isolation en dit zou correlatie aanvallen makkelijker kunnen maken voor een tegenstander tussen elk van je sessies (zie Je geanonimiseerde Tor/VPN verkeer). Als het echter je doel is om bij elke sessie dezelfde identiteit te gebruiken op dezelfde geauthenticeerde diensten, dan wordt de waarde van Stream isolatie minder omdat je op andere manieren gecorreleerd kunt worden.


Je moet ook weten dat Stream isolatie niet noodzakelijkerwijs standaard is geconfigureerd op Whonix Workstation. Het is alleen vooraf geconfigureerd voor sommige applicaties (waaronder Tor Browser).


Merk ook op dat Stream Isolation niet noodzakelijkerwijs alle nodes in je Tor circuit verandert. Het kan er soms maar één of twee veranderen. In veel gevallen zal Stream Isolation (bijvoorbeeld binnen de Tor Browser) alleen de relay (middelste) node en de exit node veranderen terwijl dezelfde guard (entry) node behouden blijft.


Meer informatie op:

• https://www.whonix.org/wiki/Stream_Isolation [Archive.org]
• https://tails.boum.org/contribute/design/stream_isolation/ [Archive.org]
• https://www.whonix.org/wiki/Tunnels/Introduction#Comparison_Table [Archive.org]

Tor over VPN.

Je vraagt je misschien af: Nou, hoe zit het met het gebruik van Tor over VPN in plaats van VPN over Tor? Nou, dat zou ik niet noodzakelijkerwijs doen:

• Nadelen
  
  • Je VPN-provider is gewoon een ISP die dan je IP kent en je kan de-anonimiseren als dat nodig is. We vertrouwen ze niet. Ik geef de voorkeur aan een situatie waarin je VPN-provider niet weet wie je bent. Het voegt niet veel toe in termen van anonimiteit.
  • Dit zou ertoe leiden dat je verbinding maakt met verschillende diensten via het IP van een Tor Exit Node die op veel plaatsen verboden/gevlagd zijn. Het helpt niet op het gebied van gemak.
• Voordelen:
  
  • Het belangrijkste voordeel is eigenlijk dat als je in een vijandige omgeving bent waar Tor toegang onmogelijk/gevaarlijk/verdacht is maar VPN wel oké is.
  • Deze methode verbreekt ook de Tor Stream isolatie niet.

Let op, als je problemen hebt met toegang tot het Tor Netwerk vanwege blokkering/censuur, kun je proberen Tor Bridges te gebruiken. Zie Appendix X: Tor bruggen gebruiken in vijandige omgevingen.


Het is ook mogelijk om VPN over Tor over VPN (Gebruiker > VPN > Tor > VPN > Internet) te overwegen door in plaats daarvan twee cash/Monero betaalde VPN's te gebruiken. Dit betekent dat je het host-OS verbindt met een eerste VPN vanaf je openbare Wi-Fi, dan maakt Whonix verbinding met Tor en tenslotte maakt je VM verbinding met een tweede VPN over Tor over VPN ( zie https://www.whonix.org/wiki/Tunnels/Connecting_to_a_VPN_before_Tor [Archive.org]).


Dit heeft natuurlijk een aanzienlijke impact op de prestaties en kan behoorlijk traag zijn, maar ik denk dat Tor ergens nodig is om redelijke anonimiteit te bereiken.


Dit technisch bereiken is eenvoudig binnen deze route, je hebt twee aparte anonieme VPN accounts nodig en moet verbinding maken met de eerste VPN vanaf het Host OS en de route volgen.


Conclusie: Doe dit alleen als je denkt dat alleen Tor gebruiken riskant/onmogelijk is maar VPN's wel oké zijn. Of gewoon omdat het kan en waarom niet.

 

[HEISENBERG]

Alleen VPN.

Deze route wordt niet uitgelegd of aanbevolen.


Als je VPN's kunt gebruiken, zou je er een Tor-laag overheen moeten kunnen leggen. En als je Tor kunt gebruiken, dan kun je een anonieme VPN over Tor heen leggen om de gewenste oplossing te krijgen.


Alleen een VPN of zelfs een VPN over VPN gebruiken heeft geen zin omdat die na verloop van tijd naar je terug te leiden zijn. Een van de VPN providers zal je echte IP kennen (zelfs als het in een veilige openbare ruimte is) en zelfs als je er een overheen zet, zal de tweede nog steeds weten dat je die andere eerste VPN service gebruikte. Dit zal je de-anonimisering alleen een beetje vertragen. Ja, het is een toegevoegde laag ... maar het is een hardnekkige gecentraliseerde toegevoegde laag en je kunt na verloop van tijd gedanonimiseerd worden. Dit is gewoon een keten van 3 ISP's die allemaal onderworpen zijn aan wettelijke verzoeken.


Zie voor meer informatie de volgende referenties:

• https://www.whonix.org/wiki/Compari..._VPN_Services#Tor_and_VPN_Services_Comparison [Archive.org]
• https://www.whonix.org/wiki/Why_does_Whonix_use_Tor [Archive.org]
• https://www.researchgate.net/public...communication_VPN_and_Tor_a_comparative_study [Archive.org]
• https://gist.github.com/joepie91/5a9909939e6ce7d09e29#file-vpn-md [Archive.org]
• https://schub.wtf/blog/2019/04/08/very-precarious-narrative.html [Archive.org]

In de context van deze handleiding is Tor ergens nodig om redelijke en veilige anonimiteit te bereiken en je zou het moeten gebruiken als je dat kunt.

Geen VPN/Tor.

Als je geen VPN of Tor kunt gebruiken waar je bent, bevind je je waarschijnlijk in een zeer vijandige omgeving waar bewaking en controle zeer hoog is.


Gewoon niet doen, het is het niet waard en te riskant IMHO. Je kunt bijna onmiddellijk gedanonimiseerd worden door elke gemotiveerde tegenstander die je fysieke locatie binnen enkele minuten kan bereiken.


Vergeet niet om terug te kijken op Adversaries (bedreigingen) en Appendix S: Controleer je netwerk op surveillance/censuur met behulp van OONI.


Als je absoluut geen andere optie hebt en toch iets wilt doen, zie dan Appendix P: Het internet zo veilig mogelijk benaderen als Tor/VPN geen optie is (op eigen risico) en overweeg in plaats daarvan The Tails route.

Conclusie.

Helaas zal het gebruik van Tor alleen de argwaan wekken van de platforms van veel bestemmingen. Je zult veel hindernissen tegenkomen (captcha's, fouten, aanmeldingsproblemen) als je alleen Tor gebruikt. Daarnaast kan het gebruik van Tor waar je bent je alleen daarom al in de problemen brengen. Maar Tor blijft de beste oplossing voor anonimiteit en moet ergens zijn voor anonimiteit.

• Als je persistente gedeelde en geauthenticeerde identiteiten wilt creëren op verschillende diensten waar toegang via Tor moeilijk is, raad ik de VPN over Tor optie aan (of VPN over Tor over VPN als dat nodig is). Het is misschien iets minder veilig tegen correlatie aanvallen vanwege het verbreken van de Tor Stream isolatie, maar het biedt veel meer gemak bij het toegang krijgen tot online bronnen dan alleen het gebruik van Tor. Het is een "acceptabele" ruil als je voorzichtig genoeg bent met je identiteit.
• Als je echter gewoon anoniem wilt browsen op willekeurige diensten zonder specifieke gedeelde identiteiten aan te maken, met behulp van Tor-vriendelijke diensten; of als je de afweging in de vorige optie niet wilt accepteren. Dan raad ik aan om de Tor Only route te gebruiken om de volledige voordelen van Stream Isolation te behouden (of Tor over VPN als dat nodig is).
• Als de kosten een probleem zijn, raad ik de Tor Only optie aan als dat mogelijk is.
• Als zowel Tor als VPN toegang onmogelijk of gevaarlijk zijn dan heb je geen andere keuze dan veilig te vertrouwen op publieke wi-fi's. Zie Appendix P: Het internet zo veilig mogelijk benaderen als Tor en VPN's geen optie zijn.

Voor meer informatie kun je ook de discussies hier bekijken die je kunnen helpen om zelf een beslissing te nemen:

• Tor Project: https://gitlab.torproject.org/legacy/trac/-/wikis/doc/TorPlusVPN [Archive.org]
• Tails Documentatie:
  
  • https://gitlab.tails.boum.org/tails/blueprints/-/wikis/vpn_support/ [Archive.org]
  • https://tails.boum.org/support/faq/index.en.html#index20h2 [Archive.org]
• Whonix Documentatie (in deze volgorde):
  
  • https://www.whonix.org/wiki/Tunnels/Introduction [Archive.org]
  • https://www.whonix.org/wiki/Tunnels/Connecting_to_Tor_before_a_VPN [Archive.org]
  • https://www.whonix.org/wiki/Tunnels/Connecting_to_a_VPN_before_Tor [ Archive.org]
• Enkele papers over dit onderwerp:
  
  • https://www.researchgate.net/public...communication_VPN_and_Tor_a_comparative_study [Archive.org]

 

[HEISENBERG]

Zorg voor een anonieme VPN/Proxy.

Sla deze stap over als je alleen Tor wilt gebruiken.


Zie Bijlage O: Een anonieme VPN/Proxy verkrijgen

Whonix.

Sla deze stap over als je geen Tor kunt gebruiken.


Deze route gebruikt Virtualisatie en Whonix309 als onderdeel van het anonimiseringsproces. Whonix is een Linux-distributie die bestaat uit twee virtuele machines:

• Het Whonix Workstation (dit is een VM waar je gevoelige activiteiten kunt uitvoeren)
• De Whonix Gateway (deze VM maakt een verbinding met het Tor netwerk en routeert al het netwerkverkeer van het Workstation door het Tor netwerk).

Deze gids zal daarom 2 smaken van deze route voorstellen:

• De Whonix only route waarbij al het verkeer door het Tor netwerk wordt geleid (Tor Only of Tor over VPN).

Een Whonix hybride route waarbij al het verkeer via een cash (voorkeur)/Monero betaalde VPN over het Tor Netwerk gaat (VPN over Tor of VPN over Tor over VPN).

Je zult in staat zijn om te beslissen welke smaak te gebruiken op basis van mijn aanbevelingen. Ik raad de tweede aan zoals eerder uitgelegd.


Whonix wordt goed onderhouden en heeft uitgebreide en ongelooflijk gedetailleerde documentatie.

Een opmerking over Virtualbox Snapshots.

Later zul je meerdere Virtual Machines creëren en draaien binnen Virtualbox voor je gevoelige activiteiten. Virtualbox biedt een functie genaamd "Snapshots" die het mogelijk maakt om de status van een VM op elk moment op te slaan. Als je later om wat voor reden dan ook terug wilt naar die staat, kun je die snapshot op elk moment herstellen.


Ik raad je sterk aan om gebruik te maken van deze functie door een snapshot te maken na de eerste installatie / update van elke VM. Deze snapshot moet worden gemaakt voordat ze worden gebruikt voor gevoelige/anonieme activiteiten.


Hierdoor kun je je VM's veranderen in een soort wegwerp "Live besturingssystemen" (zoals Tails eerder besprak). Dit betekent dat je alle sporen van je activiteiten binnen een VM kunt wissen door een Snapshot terug te zetten naar een eerdere staat. Natuurlijk zal dit niet "zo goed" zijn als Tails (waar alles in het geheugen wordt opgeslagen) omdat er sporen van deze activiteit op je harde schijf kunnen achterblijven. Forensisch onderzoek heeft aangetoond dat het mogelijk is om gegevens te herstellen van een teruggedraaide VM. Gelukkig zijn er manieren om deze sporen te verwijderen na het verwijderen of terugzetten naar een vorige snapshot. Dergelijke technieken worden besproken in het gedeelte Enkele aanvullende maatregelen tegen forensisch onderzoek in deze handleiding.

Download Virtualbox en Whonix hulpprogramma's.

Je moet een paar dingen downloaden binnen het host OS.

• De laatste versie van de Virtualbox installer volgens je host OS https://www.virtualbox.org/wiki/Downloads [Archive.org].
• (Sla dit over als je Tor niet direct of via een VPN kunt gebruiken) Het laatste Whonix OVA-bestand van https://www.whonix.org/wiki/Download [ Archive.org], afhankelijk van je voorkeur (Linux/Windows, met een desktopinterface XFCE voor de eenvoud of alleen met de tekst-client voor geavanceerde gebruikers).

Hiermee zijn de voorbereidingen afgerond en kun je beginnen met het opzetten van de uiteindelijke omgeving die jouw anonimiteit online zal beschermen.

Virtualbox Hardening aanbevelingen.

Voor de ideale beveiliging moet u de aanbevelingen opvolgen die hier worden gegeven voor elke Virtualbox Virtual Machine https://www.whonix.org/wiki/Virtualization_Platform_Security#VirtualBox_Hardening [Archive.org]:

• Audio uitschakelen.
• Schakel Gedeelde mappen niet in.
• Schakel 2D-versnelling niet in. Dit doe je met het volgende commando VBoxManage modifyvm "vm-id" --accelerate2dvideo on|off
• 3D-versnelling niet inschakelen.
• Schakel de seriële poort niet in.
• Verwijder het diskettestation.
• Verwijder het CD/DVD-station.
• Schakel de Remote Display server niet in.
• PAE/NX inschakelen (NX is een beveiligingsfunctie).
• Advanced Configuration and Power Interface (ACPI) uitschakelen. Dit doe je met het volgende commando VBoxManage modifyvm "vm-id" --acpi on|off.
• Sluit geen USB-apparaten aan.
• Schakel de USB-controller uit die standaard is ingeschakeld. Stel het aanwijsapparaat in op "PS/2 Mouse" anders worden de wijzigingen ongedaan gemaakt.

Volg ten slotte ook deze aanbeveling om de klok van je VM te desynchroniseren ten opzichte van je host OS https://www.whonix.org/wiki/Network...oof_the_Initial_Virtual_Hardware_Clock_Offset [Archive.org].


Deze offset moet binnen een bereik van 60000 milliseconden liggen en moet voor elke VM anders zijn. Hier zijn enkele voorbeelden (die later op elke VM kunnen worden toegepast):

• VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset -35017
• VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset +27931
• VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset -35017
• VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset +27931

Overweeg ook om deze mitigaties toe te passen vanuit VirtualBox om de Spectre/Meltdown kwetsbaarheden te mitigeren door dit commando uit te voeren vanuit de VirtualBox Program Directory. Deze worden allemaal hier beschreven: https://www.whonix.org/wiki/Spectre_Meltdown [Archive.org] (let op: deze kunnen de prestaties van uw VM's ernstig beïnvloeden, maar moeten worden uitgevoerd voor de beste beveiliging).


Overweeg tenslotte het beveiligingsadvies van Virtualbox zelf hier https://www.virtualbox.org/manual/ch13.html [ Archive.org].

 

[HEISENBERG]

Tor over VPN.

Sla deze stap over als je niet van plan bent om Tor over VPN te gebruiken en alleen Tor wilt of kunt gebruiken.


Als u Tor over VPN om wat voor reden dan ook wilt gebruiken. Je moet eerst een VPN service configureren op je host OS.


Onthoud dat ik in dit geval aanraad om twee VPN accounts te hebben. Beide betaald met cash/Monero (zie Appendix O: Verkrijg een anonieme VPN/Proxy). Eén wordt gebruikt in het host OS voor de eerste VPN-verbinding. De andere kan worden gebruikt in de VM om VPN over Tor over VPN te bereiken (Gebruiker > VPN > Tor > VPN).


Als je van plan bent om alleen Tor over VPN te gebruiken, heb je maar één VPN-account nodig.


Zie Appendix R: Een VPN installeren op je VM of host-OS voor instructies.

 

[HEISENBERG]

Whonix virtuele machines.

Sla deze stap over als je Tor niet kunt gebruiken.

• Start Virtualbox op je host OS.
• Importeer het Whonix bestand in Virtualbox volgens de instructies op https://www.whonix.org/wiki/VirtualBox/XFCE [Archive.org].
• Start de Whonix VM's

Onthoud in dit stadium dat als je problemen hebt om verbinding te maken met Tor vanwege censuur of blokkering, je moet overwegen om verbinding te maken met Bridges zoals uitgelegd in deze tutorial https://www.whonix.org/wiki/Bridges [ Archive.org].

• Update de Whonix VM's door de instructies op https://www.whonix.org/wiki/Operating_System_Software_and_Updates#Updates [Archive.org] te volgen.
• Sluit de Whonix VM's af
• Maak een snapshot van de bijgewerkte Whonix VM's binnen Virtualbox (selecteer een VM en klik op de knop Take Snapshot). Daarover later meer.
• Ga naar de volgende stap

Belangrijke opmerking: Lees ook deze zeer goede aanbevelingen op https://www.whonix.org/wiki/DoNot [Archive.org] omdat de meeste van deze principes ook van toepassing zijn op deze gids. U zou ook hun algemene documentatie hier https://www.whonix.org/wiki/Documentation [Archive.org] moeten lezen die ook tonnen advies geeft zoals deze gids.